总结网上所说,细细的归纳下
CSRF利用的时网站对用户网页浏览器的信任。在受害人不知情的情况下以 受害人的名义伪造请求发送给攻击者的站点。
1。首先XSS漏洞先防护好(一般是通过过滤器更改特殊字符)
2.针对重要的服务:比如网站的积分,涉及用户利益的以及重要信息的最好用ajax请求,使用token验证。这样可以防止token被攻击者获取。
3.验证referer来源,一般这个不现实,有的用户可能关闭了浏览器的referer功能。
总结网上所说,细细的归纳下
CSRF利用的时网站对用户网页浏览器的信任。在受害人不知情的情况下以 受害人的名义伪造请求发送给攻击者的站点。
1。首先XSS漏洞先防护好(一般是通过过滤器更改特殊字符)
2.针对重要的服务:比如网站的积分,涉及用户利益的以及重要信息的最好用ajax请求,使用token验证。这样可以防止token被攻击者获取。
3.验证referer来源,一般这个不现实,有的用户可能关闭了浏览器的referer功能。