CSRF 跨站请求伪造攻击
攻击原来
- 登录服务器,拿到 cookie 或者 token,用户根据网站请求的规则(参数编码等)可以构造 HTTP 请求,发送数据,不局限在浏览器页面
解决方案
- 动态 token,加载页面生成 token,提交数据使用当前页面生成的 token,增加伪造请求的难度
- 参数加密,js 代码混淆等
推荐阅读:
- 1. 自己动手实现Lua | 自己动手实现Lua:从零构建Lua虚拟机和编译器
- 2. 明确自己想做的几件事 | 克服学习焦虑:高效学习英语、写作、Rust和编译原理的实践与反思
- 3. CSRF攻击 | CSRF 跨站请求伪造攻击:原理、防御及解决方案
- 4. 去掉PHP项目中的所有注释 | 高效移除PHP代码注释:正则表达式 VS 词法分析
- 5. tokenizer | Tokenizer:词法分析器详解及实现
- 6. 自己动手实现Lua | 自己动手实现Lua:从零构建Lua虚拟机和编译器
- 7. 明确自己想做的几件事 | 克服学习焦虑:高效学习英语、写作、Rust和编译原理的实践与反思
- 8. 去掉PHP项目中的所有注释 | 高效移除PHP代码注释:正则表达式 VS 词法分析
- 9. token | Lua 词法分析器:token 的定义与实现
- 10. tokenizer | Tokenizer:词法分析器详解及实现