之前老师讲过post与get请求,只是简单的讲了get存储的数据大小有限,传递的数据有限,之前只是了解的这么多。后面看到别人的博客算是对这两种请求有了另一种看法:post一般是做提交和修改工作的,get一般是做资源请求工作的,这个也不是绝对的。但在这个过程中get请求却可以被伪造,所以这个请求存在不安全的问题。
CSRF(跨站点伪造请求)也就和这种请求伪造,这个过程中Cookie也可以伪造,所以一般Cookie都是要加密的。一些get请求有时需要把它用post提交,这样就可以避免请求伪造,可以把get请求的参数添到一个隐藏域表单,用js提交就可以避免get提交不安全的问题。但是如果有人看了页面源码,也可能有破击的风险。如果给表单的隐藏域中加一个hash字符串就就可以了在后台做一个验证hash字符串验证,这样也可以判断post请求的真伪的问题。
在struts中表单的token可以做post真伪验证的一个方式。
就到这了,了解的就这么多了
扫一扫
8158
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
