CSRF防范及绕过
同源检测-referer
检测referer字段
例如:
一旦没检测到referer头或域名不对就直接放弃处理包的请求
绕过
所以绕过只能结合xss、文件上传html绕过
CSRF-Tkoen
每一次请求前都会准备好随机的csrftonken和服务器做比较,如果不对就被认为是csrf攻击
正常请求
置空请求
删除参数请求
复用请求
成功
绕过
1、复用
2、置空值
3、删除csrftoken这个参数
如果这三种尝试了都没办法,那么不存在csrf漏洞
相关推荐
德福危险2 小时前
密码枚举的艺术:靶机练习之midwestcdprinter3 小时前
信刻——安全生产音视频录音录像自动刻录备份归档管理系统岁月宁静4 小时前
深度定制:在 Vue 3.5 应用中集成流式 AI 写作助手的实践jieyu11194 小时前
uploads-labs靶场通关(2)Forfun_tt4 小时前
upload-labs pass-19缘友一世5 小时前
文件上传漏洞和绕过技术心易行者5 小时前
10天!前端用coze,后端用Trae IDE+Claude Code从0开始构建到平台上线saadiya~5 小时前
ECharts 实时数据平滑更新实践(含 WebSocket 模拟)fruge5 小时前
前端三驾马车(HTML/CSS/JS)核心概念深度解析百锦再6 小时前
Vue Scoped样式混淆问题详解与解决方案