IT源码网

客户端安全-csrf讲解

qq123 2021年02月16日 程序员 153 0

1.需求

理解并掌握CSRF攻击和防御

2.csrf的产生

盗个图说明(http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html)

B伪造成C,向A发起请求,达到了请求伪造的目的。

3.解决方式

1.处理表单数据的时候加一个标志,csrf_token。服务端生成,生成方式可以包含时间戳并加密,返回给客户端,每次客户端请求的时候要带上这个csrf_token,服务端验证,验证过了才执行真实的请求。(唯一的问题就是2个表单同时打开,会出现csrf_token覆盖的问题。可以提示前端,会话失效,请刷新页面)

2.把token存在表单和cookie中,提交的时候验证相等,缺点是token信息都在客户端(一个表单内,一个cookie中), 可被别人获得

2.用验证码图片。也是一个道理。

4.解决方案

参考CI的框架的解决方案

 

 

参考资料:

(http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html)

发布评论

分享到:

IT源码网

微信公众号号:IT虾米 (左侧二维码扫一扫)欢迎添加!

客户端安全-xss-2解决方案讲解
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。