【隐式认证】现在的Web应用程序几乎都是使用Cookie来识别用户身份以及保存会话状态。浏览器在最初加入Cookie功能时并没有考虑安全因素。假设一个网站使用了Cookie,当一个用户完成身份验证之后.浏览器得到一个标识用户身份的Cookie,只要不退出或关闭浏览器。以后访问相同网站下的页面的时候,对每一个请求浏览器都会“智能”地主动附带上该网站的Cookie来标识自己,用户不需要重新认证就可以被网站识别。当第三方WEB页面产生了指向当前网站域下的请求时,该请求也会带上当前网站的Cookie。
【显示认证】要求对每个发送至站点的请求都要输入用户名和口令。
【crsf 怎么发生的 】源于Web的隐式身份验证机制,利用了系统对页面浏览器的信任,客户端有一个cookie凭证存储在浏览器里,该cookie没有清除,客户端又tab一个页面进行访问别的网站。
【crsf 怎么防范 】
A 重要的用post接收
B 重要的数据交互,使用验证码
C 验证reffer —reffer可更改
D 请求链接上增加token —wq_skey(微信手Q的校验KEY) pt_key(pin) 进行哈希time33算法
E http头里面增加自定义属性csrftoken 。
【xss】
扫一扫
325
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
