CSRF 跨站请求伪造攻击：原理、防御及解决方案 | sntflyv 的技术博客

Skip to content

sntflyv 的技术博客

Main Navigation 技术博客

健康饮食

运动

经济

读后感一些收藏关于我意见反馈 Timeline

Appearance

Sidebar Navigation

Linux

2019

2019-12-17-grep-awk-sed-sort-etc

2020

2020-09-01-linux-tools-jq-json-processor

2020-12-15-simple-command-in-curl

2020-12-16-grep-parameters

2021

2021-03-02-install-logstash-clickhouse-plugin

Linux下手动编译编辑器Zed

动态追踪技术

ebpf-helloworld入门

ebpf-五大模块

ebpf-修改函数入参和返回值

ebpf-和用户态交互

ebpf-数据结构介绍

ebpf

ebpf参数获取

xdp高速数据路径

进程-线程-协程

5钟IO模型

IPC进程间通讯

bpftrace

信号及通讯

分布式锁

锁

Openresty

CDN

CDN系统重构

llvm

CodeGen

JIT

流程学习

信息安全对抗

web安全

CSRF攻击

XSS

二进制

shellcode

汇编

系统提权

逆向工程反编译

数据库

SQL注入

社会工程学

心理学

竞赛小游戏

其它

视频切割

写作

入门

前端知识

2019-12-23-parse-excel-time

大数据

ClickHouse

table引擎

view物化视图

数据写入

注意事项

ElasticSearch

压力测试

Flink

2020-12-22-flink-环境配置

2020-12-23-flink-日志文件批处理-聚合统计接口错误码

EventTime-and-ProccessTime

Flink-SQL

sql-client-小试牛刀

批处理

流式处理kakfa

窗口函数

Spark

SQL

批处理

流式处理

监控

grafana

prometheus

技巧

去掉PHP项目中的所有注释

数据库

mysql

2019-12-24-diff-database-fields

LAST_INSERT_ID作为UPDATE语句的返回值-没有RETURNING一样可以玩

query

2019-12-06-multiple-group-by-query-count-desc

2020-01-09-query-database-size

2020-01-09-sync-huge-database

redis

内存占用分布分析

sqlite

文件结构逆向分析

机器学习

pytorch

tensorflow-推荐系统

余弦相似

算法

红黑树

编程语言

C&C++

first

分而治之

动态规划

图

堆

指针

排序

栈

树

链表

队列

Rust

intruduction

rust-lifetime

rust学习提纲

unsafe

zed-ui库-gpui-初次尝试-树状嵌套

所有权

高级的Rust

Scala

basic

sbt工具了解

golang

GMP模型

eface_and_iface

go-HTTP服务优雅退出

golang中的几种压缩和解压方式

unsafe.Pointer

二进制包体积压缩

llvm

bison

flex

lua

VM

chunk文件结构

entry-lua入口

object

token

目录结构

python

2019-12-17-multiple-thread-to-consume-queue

PythonJIT-copy-and-patch的处理的详细过程上

PythonJIT-反向推断JIT-patch的生成过程

PythonJIT-如何执行

PythonJIT中的机器代码是如何生成的

Python使用C或C++扩展类

Python内核源码解析

Parse-Python实现JSON-decode解析器

Parse-Python实现自己的JSON-encode

Parse-入门字符解析-python实现简单的计算器

Python内核基础元素int

python-ast优化

python-ast优化深入研究

python-opcode优化-上

python-opcode优化-下

python-opcode优化-中

python_with_open_without_close

python内核基础元素字典-上

python内核基础元素字典-下

使用vscode调试Python内核代码

大纲

字节码

实现hash

底层基础数据结构PyObject

栈帧

非真非假

Python扩展-C-C++实现生成器和迭代器

Python扩展c-c++--mapping扩展

Python生成任意尺寸大小的测试图片

python学习大纲

python扩展或嵌入解释器开发

python模块扩展之注册回调函数

python通过ffi调用C代码

动手实现toy-language

lexer-词法分析

如何在Ubuntu2404上编译PythonJIT

小试牛刀-执行shellcode

编译原理

JIT

X86机器指令编码

ast

code-gen

parser

tokenizer

寄存器

归约计算

正则表达式

汇编指令

状态机

用数学解决编程问题

编译器后端优化

编译器后端优化算法

自底向上

虚拟机

网络编程

DNS协议

DNS协议

HTTP

2019-12-10-learn-basic-http

ICMP

SSH

ssh实现端口转发

TCP_IP协议栈

UDP协议

分布式

滑动窗口

英语

other

了解英语的发展历史及组成

动词

基础

开始更多的练习

时态

状语

计算机组成

基础

On this page

CSRF 跨站请求伪造攻击

攻击原来

登录服务器，拿到 cookie 或者 token，用户根据网站请求的规则（参数编码等）可以构造 HTTP 请求，发送数据，不局限在浏览器页面

解决方案

动态 token，加载页面生成 token，提交数据使用当前页面生成的 token，增加伪造请求的难度
参数加密，js 代码混淆等

Edit this page on Github

Last updated:

Pager

Previous page流程学习