CSRF攻击浅谈

        之前老师讲过post与get请求，只是简单的讲了get存储的数据大小有限，传递的数据有限，之前只是了解的这么多。后面看到别人的博客算是对这两种请求有了另一种看法：post一般是做提交和修改工作的，get一般是做资源请求工作的，这个也不是绝对的。但在这个过程中get请求却可以被伪造，所以这个请求存在不安全的问题。

       CSRF（跨站点伪造请求）也就和这种请求伪造，这个过程中Cookie也可以伪造，所以一般Cookie都是要加密的。一些get请求有时需要把它用post提交，这样就可以避免请求伪造，可以把get请求的参数添到一个隐藏域表单，用js提交就可以避免get提交不安全的问题。但是如果有人看了页面源码，也可能有破击的风险。如果给表单的隐藏域中加一个hash字符串就就可以了在后台做一个验证hash字符串验证，这样也可以判断post请求的真伪的问题。

       在struts中表单的token可以做post真伪验证的一个方式。

     就到这了，了解的就这么多了