CSRF 跨站请求伪造攻击
攻击原来
- 登录服务器,拿到 cookie 或者 token,用户根据网站请求的规则(参数编码等)可以构造 HTTP 请求,发送数据,不局限在浏览器页面
解决方案
- 动态 token,加载页面生成 token,提交数据使用当前页面生成的 token,增加伪造请求的难度
- 参数加密,js 代码混淆等
推荐阅读:
- 1. 自己动手实现Lua | 自己动手实现Lua:从零构建Lua虚拟机和编译器
- 2. 明确自己想做的几件事 | 克服学习焦虑:高效学习英语、写作、Rust和编译原理的实践与反思
- 3. 2020-12-15-simple-command-in-curl | Curl命令行常用参数详解及示例
- 4. XSS | XSS跨站脚本攻击详解:类型、原理及防御方案
- 5. 去掉PHP项目中的所有注释 | 高效移除PHP代码注释:正则表达式 VS 词法分析
- 6. 2019-12-10-learn-basic-http | 深入理解HTTP协议及缓存策略
- 7. index | Python 内核源码深度解析:虚拟机、词法分析与编译原理
- 8. go-HTTP服务优雅退出 | Go 语言优雅退出:HTTP 服务及生产者消费者模式实践
- 9. token | Lua 词法分析器:token 的定义与实现
- 10. tokenizer | Tokenizer:词法分析器详解及实现