CSRF防范及绕过
同源检测-referer
检测referer字段
例如:
一旦没检测到referer头或域名不对就直接放弃处理包的请求
绕过
所以绕过只能结合xss、文件上传html绕过
CSRF-Tkoen
每一次请求前都会准备好随机的csrftonken和服务器做比较,如果不对就被认为是csrf攻击
正常请求
置空请求
删除参数请求
复用请求
成功
绕过
1、复用
2、置空值
3、删除csrftoken这个参数
如果这三种尝试了都没办法,那么不存在csrf漏洞
相关推荐
桃园码工1 小时前
4_使用 HTML5 Canvas API (3) --[HTML5 API 学习之旅]桃园码工1 小时前
9_HTML5 SVG (5) --[HTML5 API 学习之旅]人才程序员1 小时前
QML z轴(z-order)前后层级m0_548514771 小时前
前端三大主流框架:React、Vue、Angularm0_748232392 小时前
单页面应用 (SPA):现代 Web 开发的全新视角孤留光乩2 小时前
从零搭建纯前端飞机大战游戏(附源码)伊泽瑞尔.2 小时前
el-tabs标签过多2401_854391082 小时前
智能挂号系统设计典范:SSM 结合 Vue 在医院的应用实现觉醒的程序猿2 小时前
vue2设置拖拽选中时间区域follycat3 小时前
bestphp‘s revenge