风炫安全web安全学习第二十九节课 CSRF防御措施 CSRF防御措施 增加token验证 对关键操作增加token验证,token值必须随机,每次都不一样 关于安全的会话管理(SESSION) 不要在客户端保存敏感信息关闭浏览器直接销毁SESSION设置会话过期操作,比如超过15分钟没有操作,直接销毁SESSION 访问控制的安全管理 敏感信息修改的时候需要二次验证,比如修改密码需要验证旧密码。敏感信息修改使用POST,而不是GET通过HTTP头部的REFERER来限制原来页面 增加验证码 参考: http://blog.evalshell.com/2020/12/20/风炫安全web安全学习第二十九节课-csrf防御措施/