CSRF防范及绕过
同源检测-referer
检测referer字段
例如:
一旦没检测到referer头或域名不对就直接放弃处理包的请求
绕过
所以绕过只能结合xss、文件上传html绕过
CSRF-Tkoen
每一次请求前都会准备好随机的csrftonken和服务器做比较,如果不对就被认为是csrf攻击
正常请求
置空请求
删除参数请求
复用请求
成功
绕过
1、复用
2、置空值
3、删除csrftoken这个参数
如果这三种尝试了都没办法,那么不存在csrf漏洞
相关推荐
ShoreKiten1 小时前
命令执行专题(持续更新)WaywardOne1 小时前
iOS必看!Deepseek给的Runtime实现原理,通俗易懂~小码哥_常1 小时前
惊!Kotlin集合,你可能只用了40%?九河云1 小时前
数据上云的安全边界:零信任架构在混合云场景的应用Wect1 小时前
LeetCode 52. N 皇后 II:回溯算法高效求解毛骗导演1 小时前
万字解析 OpenClaw 源码架构-跨平台应用之 iOS 应用刀断青1 小时前
Flutter 开发之第一个Flutter应用gyx_这个杀手不太冷静1 小时前
OpenCode 进阶使用指南(第五章:最佳实践)Lee川1 小时前
揭开 `new` 的神秘面纱:从“黑盒”到“手写实现”的深度解析bluceli1 小时前
JavaScript Proxy与Reflect:元编程的强大工具