CSRF(跨站点请求伪造)
攻去过程在我的理解里一般分为四步:
①用户向网站发起http请求
②网站回应用户产生cookie
③黑客 制作攻击性的代码诱使用户去点击
④用户点击成功后黑客拿到用户cookie值,从而利用用户的身份去访问网站
CSRF漏洞的检测
①抓取一个正常请求的数据,去掉referer字段之后再重新提交,如果还是效果那么就存在CSRF漏洞。
②利用CSRFTester工具进行检测
防御CSRF
1. 验证HTTP Refere字段
2. 在请求地址中添加 token并验证
3. 在HTTP头中自定义属性并验证
这些是我自的关于CSRF的看法,还在学习中,可能有些地方不太准确