CSRF防范及绕过
同源检测-referer
检测referer字段
例如:
一旦没检测到referer头或域名不对就直接放弃处理包的请求
绕过
所以绕过只能结合xss、文件上传html绕过
CSRF-Tkoen
每一次请求前都会准备好随机的csrftonken和服务器做比较,如果不对就被认为是csrf攻击
正常请求
置空请求
删除参数请求
复用请求
成功
绕过
1、复用
2、置空值
3、删除csrftoken这个参数
如果这三种尝试了都没办法,那么不存在csrf漏洞
相关推荐
kyriewen10 小时前
别再 console.log 了:5 个 Chrome DevTools 调试技巧,用过就回不去了IT_陈寒12 小时前
Python搞不定字符串编码?这破玩意坑我两小时!DigitalOcean13 小时前
Laravel 开发者已在 DigitalOcean 上开通超过 10 万台服务器星始流年14 小时前
从 Tool 到 Skill——基于 LangChain 的服务端Skill实现李惟14 小时前
开源本地通信库,纯客户端 RPC,像聊天一样通信YAwu1114 小时前
深入解析 React 炫彩鼠标跟随标题组件:从坐标定位到动画性能GuWenyue14 小时前
排序效率低?5分钟吃透快速排序,性能飙升至O(nlogn)OpenTiny社区14 小时前
🎨 看完 GenUI SDK 源码我悟了!叁两14 小时前
前端转型AI Agent该如何学习?(前置篇)何时梦醒14 小时前
深入理解递归与快速排序 —— 从基础入门到手写实现