比较形象的例子是登录了淘宝, 在浏览器平行标签再打开的时候, 淘宝是不用登录的
这个可乘之机是在一个页面中加入了一个恶意的跳转, 可以让你自动买下一个东西,当然现在淘宝的机制没这么容易就付款了..
防御方法:
django的实现方式: 在用户每次到有form的地方都请求一个hash串,当提交表单的时候,检查是否存在这样的hash,如果一个不正确的串,不让提交
比较形象的例子是登录了淘宝, 在浏览器平行标签再打开的时候, 淘宝是不用登录的
这个可乘之机是在一个页面中加入了一个恶意的跳转, 可以让你自动买下一个东西,当然现在淘宝的机制没这么容易就付款了..
防御方法:
django的实现方式: 在用户每次到有form的地方都请求一个hash串,当提交表单的时候,检查是否存在这样的hash,如果一个不正确的串,不让提交