每个用户的form表单都会生成一个字符串,当然(这个后端是肯定知道这个字符串是什么,因为他们公用一套加密方案).假设现在有一个钓鱼网站想模仿正经网站,比如a向b转10作文素材 高中0元钱,但是钓鱼网站却不知道form表单的字符串是多少,即使伪造了一个网站(首页显示一模一样),填写了相关信息后,向正经网站后台发送转款请求,但是,由于没有特有的字符串,会被后台认为该请求是伪造青春不打烊请求,从而无法实现转款方一冰,
可以得知,每次return 时,都会携带一些信息由request返回,这里面就携带,比如csrftoken的相关信息,这样,当提交表单时候,我们可以将csrf传递到后端,检测是否和传到前端时一样,如果一样,则接受表单数据,否则,拒绝接受表单数据。
本文发布于:2023-04-03 14:08:11,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/fanwen/zuowen/f2257a8daf32c700b1c8645d0458aeec.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:csrf(跨站请求伪造).doc
本文 PDF 下载地址:csrf(跨站请求伪造).pdf
| 留言与评论(共有 0 条评论) |
