CSRF防范及绕过
同源检测-referer
检测referer字段
例如:
一旦没检测到referer头或域名不对就直接放弃处理包的请求
绕过
所以绕过只能结合xss、文件上传html绕过
CSRF-Tkoen
每一次请求前都会准备好随机的csrftonken和服务器做比较,如果不对就被认为是csrf攻击
正常请求
置空请求
删除参数请求
复用请求
成功
绕过
1、复用
2、置空值
3、删除csrftoken这个参数
如果这三种尝试了都没办法,那么不存在csrf漏洞
相关推荐
coder_pig17 分钟前
跟🤡杰哥一起学Flutter (三十四、玩转Flutter手势✋)万少24 分钟前
01-自然壁纸实战教程-免费开放啦独立开阀者_FwtCoder26 分钟前
【Augment】 Augment技巧之 Rewrite Prompt(重写提示) 有神奇的魔法老K(郭云开)31 分钟前
谷歌浏览器安全输入控件-allWebSafeInput控件yuki_uix36 分钟前
AI辅助网页设计:从图片到代码的实践探索我想说一句37 分钟前
事件机制与委托:从冒泡捕获到高效编程的奇妙之旅陈随易37 分钟前
MoonBit助力前端开发,加密&性能两不误,斐波那契测试提高3-4倍小飞悟44 分钟前
你以为 React 的事件很简单?错了,它暗藏玄机!中微子1 小时前
JavaScript 事件机制:捕获、冒泡与事件委托详解Whoisshutiao1 小时前
网安-XSS-pikachu