CSRF防范及绕过
同源检测-referer
检测referer字段
例如:
一旦没检测到referer头或域名不对就直接放弃处理包的请求
绕过
所以绕过只能结合xss、文件上传html绕过
CSRF-Tkoen
每一次请求前都会准备好随机的csrftonken和服务器做比较,如果不对就被认为是csrf攻击
正常请求
置空请求
删除参数请求
复用请求
成功
绕过
1、复用
2、置空值
3、删除csrftoken这个参数
如果这三种尝试了都没办法,那么不存在csrf漏洞
相关推荐
行云流水剑2 小时前
【学习记录】使用 Kali Linux 与 Hashcat 进行 WiFi 安全分析:合法的安全测试指南持久的棒棒君2 小时前
npm安装electron下载太慢,导致报错KKKlucifer2 小时前
加密通信 + 行为分析:运营商行业安全防御体系重构炎码工坊3 小时前
微服务通信安全实战:JWT在分布式架构中的应用与最佳实践crary,记忆4 小时前
Angular微前端架构:Module Federation + ngx-build-plus (Webpack)漂流瓶jz4 小时前
让数据"流动"起来!Node.js实现流式渲染/流式传输与背后的HTTP原理SamHou05 小时前
手把手 CSS 盒子模型——从零开始的奶奶级 Web 开发教程2我不吃饼干5 小时前
从 Vue3 源码中了解你所不知道的 never开航母的李大5 小时前
【中间件】Web服务、消息队列、缓存与微服务治理:Nginx、Kafka、Redis、Nacos 详解Bruk.Liu5 小时前
《Minio 分片上传实现(基于Spring Boot)》