csrf问题
在csrf这个问题上纠结了好久
小小记录一下目前的总结,随后再更新
如果有朋友有更好的意见建议,可以留言让我学习一下
csrf的实现过程:跨站请求保护的实现原理
如何伪造跨站请求
它是 在客户端浏览网页,并且没有退出,在网页里有恶意的链接,而用户端在不知情的情况下,点击进入,并且携带恶意网站访问正常的网址。
如何防护的:
1、绝大多数的提交信息都会使用post请求,在post中使用token
2、正常的网站通过secret_key 设置token,通过token加密
3、浏览器中会存储token,当用户访问时会携带cookie进行访问。网站会自动比对两者是否一致
从而判断是否是安全的。
4.、判断页面的跳转记录