CSRF防范及绕过
同源检测-referer
检测referer字段
例如:
一旦没检测到referer头或域名不对就直接放弃处理包的请求
绕过
所以绕过只能结合xss、文件上传html绕过
CSRF-Tkoen
每一次请求前都会准备好随机的csrftonken和服务器做比较,如果不对就被认为是csrf攻击
正常请求
置空请求
删除参数请求
复用请求
成功
绕过
1、复用
2、置空值
3、删除csrftoken这个参数
如果这三种尝试了都没办法,那么不存在csrf漏洞
相关推荐
国服第二切图仔26 分钟前
DevUI Design中后台产品开源前端解决方案之Carousel 走马灯组件使用指南无限大633 分钟前
为什么浏览器能看懂网页代码?——从HTML到渲染引擎的奇幻之旅福尔摩斯张36 分钟前
Linux信号捕捉特性详解:从基础到高级实践(超详细)2401_8603195238 分钟前
DevUI组件库实战:从入门到企业级应用的深度探索 ,如何快速安装DevUIcc蒲公英1 小时前
javascript有哪些内置对象小白勇闯网安圈1 小时前
supersqli、web2、fileclude、Web_python_template_injectionzhangwenwu的前端小站1 小时前
vue 对接 Dify 官方 SSE 流式响应王林不想说话1 小时前
受控/非受控组件分析_杨瀚博1 小时前
VUE中使用AXIOS包装API代理哈哈哈笑什么1 小时前
SpringBoot 企业级接口加密【通用、可配置、解耦的组件】「开闭原则+模板方法+拦截器/中间件模式」