参考: http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
现象:
- 浏览器在登录 网站A 时, 通常会产生cookies, 以便于下次可以不需要重复登录, 或者保持登录.
- 这个时候, 如果浏览器去请求了一个 危险的网站B, B网站的页面里, 可能是一个往 网站A发送 转账操作(比如把你的银行卡里1000元转到什么地方) 的请求, 请求的同时也会带上cookies, 这样就算是一次CSRF(挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法)
- 钱没了
解决方法:
- 服务器在给浏览器发送 转账操作 页面时,会附带一个随机数, 在发送转账操作请求时, 必须带上这个随机数, 验证成功后, 才能正确执行转账操作, 此时, 危险网站B因为无法得到那个随机数, 所以无法完成转账请求(其实稍微努力一下, 还是可以破解的)
网友评论