我在這裡給大家舉個形象的例子來幫助大家理解。
攻擊通過在授權使用者訪問的頁面中包含鏈結或者指令碼的方式工作。例如:乙個**使用者bob可能正在瀏覽聊天論壇,而同時另乙個使用者alice也在此論壇中,並且後者剛剛發布了乙個具有bob銀行鏈結的訊息。設想一下,alice編寫了乙個在bob的銀行站點上進行取款的form提交的鏈結,並將此鏈結作為src(獲取就是get請求,對方就能抓取到你的瀏覽器cookie和更多的請求頭)。如果bob的銀行在cookie中儲存他的授權資訊,並且此cookie沒有過期,那麼當bob的瀏覽器嘗試裝載時將提交這個取款form和他的cookie,這樣在沒經bob同意的情況下便授權了這次事務。
csrf是一種依賴web瀏覽器的、被混淆過的**人攻擊(deputy attack)。在上面銀行示例中的**人是bob的web瀏覽器,它被混淆後誤將bob的授權直接交給了alice使用。
下面是csrf的常見特性: 依靠使用者標識危害** 利用**對使用者標識的信任 欺騙使用者的瀏覽器傳送http請求給目標站點 另外可以通過img標籤會觸發乙個get請求,可以利用它來實現csrf攻擊。
防範: springsecurity 和shiro都有對csrf的驗證模組,幫你更好的解決專案開發的這種風險。
對CSRF你了解多少
我在這裡給大家舉個形象的例子來幫助大家理解。攻擊通過在授權使用者訪問的頁面中包含鏈結或者指令碼的方式工作。例如 乙個 使用者bob可能正在瀏覽聊天論壇,而同時另乙個使用者alice也在此論壇中,並且後者剛剛發布了乙個具有bob銀行鏈結的訊息。設想一下,alice編寫了乙個在bob的銀行站點上進行取款...
你對CDN了解多少?
讓我們先從乙個例子,來簡單模擬一下,什麼是cdn技術。在二十多年前,大部分城市主流的購物方式,都是去某某百貨商店 某某商場,很多人擠在一塊小小的櫃檯前,挑選自己想要的東西。這明顯是算不上方便的。不論你買的是大件商品還是油鹽醬醋,都要去到乙個集中的商店裡去尋找,可能有的時候還會遇到斷貨的情況,大老遠的...
你對IT風投了解多少?
風投,即風險投資,簡稱是vc,在中國是乙個約定俗成的具有特定內涵的概念,其實把它翻譯成創業投資更為妥當。廣義的風險投資泛指一切具有高風險 高潛在收益的投資 狹義的風險投資是指以高新技術為基礎,生產與經營技術密集型產品的投資。但這種說法又是不大準確的。在大眾語境中,angel vc pe三者都可認為是...