http refer 验证
客户端生成url中token 放到url(get) 简单不利于收藏,分享
服务端返回cookie中token,客户端提交form中token和cookie中token (cookie失效前可以验证 但是客户端可以 通过在请求地址 加 set cookie 伪造) 大部分攻击
服务端 存储到 session,客户端提交 上来
验证码 体验较差 能够解决所有csrfon感觉
http refer 验证
客户端生成url中token 放到url(get) 简单不利于收藏,分享
服务端返回cookie中token,客户端提交form中token和cookie中token (cookie失效前可以验证 但是客户端可以 通过在请求地址 加 set cookie 伪造) 大部分攻击
服务端 存储到 session,客户端提交 上来
验证码 体验较差 能够解决所有csrfon感觉