码迷,mamicode.com
首页 > 其他好文 > 详细

跨站请求伪造

时间:2014-11-18 23:17:15      阅读:174      评论:0      收藏:0      [点我收藏+]

标签:os   sp   for   strong   on   bs   ef   服务器   应用   

跨站请求伪造(英语:Cross-site request forgery), 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

 

防止方法
1,利用referer判断,
但是用户有可能设置浏览器使其在发送请求时不提供 Referer,这样的用户也将不能访问网站。
2,在请求中添加 token 并验证
关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中,
可以在服务器端生成一个随机码,然后放在form的hidden元素中,form提交的时候在服务器端检查。

跨站请求伪造

标签:os   sp   for   strong   on   bs   ef   服务器   应用   

原文地址:http://www.cnblogs.com/yangxia-test/p/4106374.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!