CSRF: Cross site Request Forgery 跨站请求伪造
原理:
利用xss方式注入一段脚本,通过伪装来自受信任用户的请求来利用受信任的网站,当受害者在浏览器中运行该脚本时,脚本仿冒受害者,向合法的web系统发送一个请求,这个请求会被web系统当做受害者主动提出的合法请求,进而利用合法用户的身份执行攻击者指定的操作。
以下是来自一个典型例子
修复方式:
1.检查Referer字段
2.添加校验token
CSRF: Cross site Request Forgery 跨站请求伪造
原理:
利用xss方式注入一段脚本,通过伪装来自受信任用户的请求来利用受信任的网站,当受害者在浏览器中运行该脚本时,脚本仿冒受害者,向合法的web系统发送一个请求,这个请求会被web系统当做受害者主动提出的合法请求,进而利用合法用户的身份执行攻击者指定的操作。
以下是来自一个典型例子
修复方式:
1.检查Referer字段
2.添加校验token