CSRF:跨站伪造请求:攻击者利用目标用户的身份,以目标用户的名义执行某些非法操作。以目标用户的名义发送邮件、发消息,盗取目标用户的账号等。
修复建议:
1.验证请求的referer值,referer是一自己网站开头的域名,说明该请求安全,referer是其他网站或者空白,则很有可能是攻击。
2.在请求中放入不能伪造的信息。如在http请求中以参数的形式加入一个随机产生的token,并在服务器端验证token。
CSRF:跨站伪造请求:攻击者利用目标用户的身份,以目标用户的名义执行某些非法操作。以目标用户的名义发送邮件、发消息,盗取目标用户的账号等。
修复建议:
1.验证请求的referer值,referer是一自己网站开头的域名,说明该请求安全,referer是其他网站或者空白,则很有可能是攻击。
2.在请求中放入不能伪造的信息。如在http请求中以参数的形式加入一个随机产生的token,并在服务器端验证token。