CSRF防范及绕过
同源检测-referer
检测referer字段
例如:
一旦没检测到referer头或域名不对就直接放弃处理包的请求
绕过
所以绕过只能结合xss、文件上传html绕过
CSRF-Tkoen
每一次请求前都会准备好随机的csrftonken和服务器做比较,如果不对就被认为是csrf攻击
正常请求
置空请求
删除参数请求
复用请求
成功
绕过
1、复用
2、置空值
3、删除csrftoken这个参数
如果这三种尝试了都没办法,那么不存在csrf漏洞
相关推荐
mCell4 小时前
GSAP ScrollTrigger 详解gnip4 小时前
Node.js 子进程:child_processexcel7 小时前
为什么在 Three.js 中平面能产生“起伏效果”?excel8 小时前
Node.js 断言与测试框架示例对比天蓝色的鱼鱼9 小时前
前端开发者的组件设计之痛:为什么我的组件总是难以维护?codingandsleeping10 小时前
使用orval自动拉取swagger文档并生成ts接口石金龙10 小时前
[译] Composition in CSS白水清风11 小时前
微前端学习记录(qiankun、wujie、micro-app)Ticnix11 小时前
函数封装实现Echarts多表渲染/叠加渲染用户221520442780011 小时前
new、原型和原型链浅析