csrf:三方网站先通过各种方法获取用户的身份凭证,再通过凭证当自己是用户,进行敏感操作。
一、借用自动凭证
例子:点击钓鱼网站链接,被扣了钱
(1)必须要用户点击链接才会生效(不然就直接划钱了),因此,定是使用了用户的一些什么东西。
(2)用户没有主动给出密码什么的,因此,是自动提交的。
(3)自动提交的很多,但是在随便一个网站都能用到的,基本只有cookie,cookie会在发起http请求时自动提交(而不问发起的网站是谁)
解决办法:
阻止借用:
(1)更改自动凭证存放地点:不在cookie中存放凭证,改放内存、localStorage等。
(2)需提供手动凭证:二次操作认证,比如让用户再次输入密码。