csrf全稱 cross site request forgery,跨站請求偽造。通俗理解:攻擊者盜用當前使用者身份,髮請當前使用者的惡意請求:如郵件,銀行轉賬等。
csrf原理
登入**a,生成本地cookie資訊;登入危險**b,b獲取**a的內容,並向a傳送請求操作,若成功,則csrf過程成功。其中登入b**,行為可以是點選**a中的鏈結鏈結。
csrf攻擊實踐
1.若**a通過get方式訪問銀行(假設)完成轉賬:如果是通過get方式訪問,授權資訊儲存在cookie中。
預防措施
1.隨機引數
攻擊者不能獲得第三方的cookie(理論上),a頁面使用加密隨機引數,在同乙個會話範圍內使用同乙個加密隨機引數,如md5("defensescrf" + new date().gettime() + 3600),在第個請求中加入隨機引數。
後台校驗:getsession().get("stoken_name") == $ptoken
2.驗證碼
最後:嘟嘟你不禁用首頁js就算了,總得加上token吧!
python部落格園 python 模擬部落格園系統
作業 用 模擬系統。專案分析 一 首先程式啟動,頁面顯示下面5內容供使用者選擇 1.請登入 2.請註冊 3.進入文章頁面 5.進入日記頁面 6.進入收藏頁面 7.登出賬號 8.退出整個程式 二 必須實現的功能 1.註冊功能要求 a.使用者名稱 密碼要記錄在檔案中。b.使用者名稱要求 只能含有字母或者...
部落格搬家部落格園
2009年9月的一天,受當時一些 技術名博 的影響,突然想搞乙個獨立網域名稱的技術部落格。於是開始了無比折騰的過程 買網域名稱 買空間,當然,最痛苦的是想乙個自己喜歡 容易記住又未被註冊的網域名稱 選部落格發布系統,在movable type和wordpress之間徘徊很長一段時間之後,選擇了mov...
linux部落格園
學linux已經有一年了,回望走過的路,多謝一下前輩的博文一路指導。收穫很多,言語不盡,謀面的或是未曾謀面的前輩們。多謝你們無私的奉獻,教會了我許多,謝謝!現在我整理出來希望對後輩或是同輩有所幫助吧 駿馬金龍 散盡浮華 barrywang 阿龍along 運維企業架構專案實戰系列 python自動化...