跨站请求伪造

参考资料Web漏洞之CSRF(跨站请求伪造漏洞）详解 - 知乎 (zhihu.com) 介绍跨站请求伪造，在用户访问B网站时，B网站中有通往A网站的攻击连接，用户点击后会在不知情中对A网站进行操作。 若用户在A网站中先进行登录，A网站为了保存用户的登录状态，会向浏览器中存储cookie。此时若用户在没有关闭浏览器的情况下，访问的B网站，点击了B网站中的攻击连接，B网站会发起一个向A网站的操作并携带A网站的cookie，模拟登录用户的操作。 条件 用户访问A并产生了cookie 用户在没有关闭浏览器的情况下访问了网站B 防御验证请求中的Referer字段Referer字段为浏览器产生的，表示该请求的来源，服务端可通过该字段判断请求是否从A网站发起的，若是通过B网站发起的请求，则Referer会指向B，则服务器可拒绝请求。 优点：操作简单，只需要在处理请求之前先验证Referer头即可，往后的业务基本无感。 缺点：安全性依赖于浏览器的安全性，若浏览器构造的Referer字段被攻击，则此方法无效，且由于有些用户认为Referer字段侵犯了用户的隐私权，故浏览器可以设置不发送Referer ...