欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

CSRF,该如何解决

程序员文章站 2022-06-09 10:58:16
...
CSRF
看百度百科
http://baike.baidu.com/view/1609487.htm


攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,并将此链接作为图片tag。如果Bob的银行在cookie中保存他的授权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了这次事务。

红色的标记是啥意思

能用简单的html结构写出来吗

比如CSRF,该如何解决
上面这个是不会发请求到www.xxx.com的


------解决方案--------------------
进来学习CSRF,该如何解决
------解决方案--------------------
错了,是链接直接写进src里,当然这个链接要比较巧妙

而且银行那边还要接受get方法-->这个现在没哪个银行这么傻吧?
其他的一些网站或者可以

如果要用post方法就需要苦主去做一些动作,例如点击诸如此类
但总的来说这事可行性不高,尤其是银行,基本杜绝了

------解决方案--------------------
你没有看清楚那篇东西说的是什么,就怀疑人家说错了
尽管现在很少get提交了,但他说的可能性仍然是存在的
更何况他下面还有关于post的表述
------解决方案--------------------
对银行没意思。现在那个银行都有支付密码。而且传递的参数中也包含密钥。而html标签都会处理的转换的。不然输入javascript更要命。
CSRF,该如何解决

声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn核实处理。

相关文章

相关视频


网友评论

文明上网理性发言,请遵守 新闻评论服务协议

我要评论
  • CSRF,该如何解决
  • 专题推荐