美文网首页我爱编程
关于CSRF的理解

关于CSRF的理解

作者: 小神同学 | 来源:发表于2018-05-27 23:23 被阅读0次

    参考: http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

    现象:

    1. 浏览器在登录 网站A 时, 通常会产生cookies, 以便于下次可以不需要重复登录, 或者保持登录.
    2. 这个时候, 如果浏览器去请求了一个 危险的网站B, B网站的页面里, 可能是一个往 网站A发送 转账操作(比如把你的银行卡里1000元转到什么地方) 的请求, 请求的同时也会带上cookies, 这样就算是一次CSRF(挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法)
    3. 钱没了

    解决方法:

    1. 服务器在给浏览器发送 转账操作 页面时,会附带一个随机数, 在发送转账操作请求时, 必须带上这个随机数, 验证成功后, 才能正确执行转账操作, 此时, 危险网站B因为无法得到那个随机数, 所以无法完成转账请求(其实稍微努力一下, 还是可以破解的)

    相关文章

      网友评论

        本文标题:关于CSRF的理解

        本文链接:https://www.haomeiwen.com/subject/npoijftx.html