CSRF

xiaoxiao2025-03-05  14

CSRF

是利用用户的身份,一般是构造链接让用户点击,获取用户的cookie之后,发送post或get请求,实现操作后台数据的目的

Cookie保持机制

Session Cookie,浏览器不关闭则不失效 本地Cookie,设定时间,时间过期之后才失效

CSRF几种攻击方式

*HTML CSRF* 可以发起get请求的标签 <link href = ' ' > <img src = ' ' > <frame src = ' '> <script scr = ' '> <videb src = ' '> Background:url( ' ') *JSON Hi Jacking* 够着自定义回调函数 <script> function hi(data) { console.log(data) }; </script> <script src = ' http:// www.a.com/json? callback = hi'> *Flash CSRF* 通过Flash来实现跨域请求

防御方法

通过验证码防御 检查请求来源 :每个请求都带有一个Referer ,Referer表示发生请求之前是在哪个页面,可以对Refer进行判断是否同域 添加请求参数token

转载请注明原文地址: https://www.6miu.com/read-5025612.html

最新回复(0)