求CSRF攻击问题的解决方案
程序猿DD 0 如果用token是不是需要每次请求都要带上token进行有效验证? 是的3年前
程序猿DD 0 验证码:强制用户必须与应用进行交互,才能完成最终请求。此种方式能很好的遏制 CSRF,但是用户体验相对差。 尽量使用 post ,限制 get 使用;上一个例子可见,get 太容易被拿来做 CSRF 攻击,但是 post 也并不是万无一失,攻击者只需要构造一个form就可以。 Referer check:请求来源限制,此种方法成本最低,但是并不能保证 100% 有效,因为服务器并不是什么时候都能取到 Referer,而且低版本的浏览器存在伪造 Referer 的风险。 token:token 验证的 CSRF 防御机制是公认最合适的方案。3年前
用户70704139作者 0 登录的话可以用验证码进行验证,但是如果验证完成以后登录系统了,此时点开第三方的网站,依旧可以获取当前网站的数据,如果用token是不是需要每次请求都要带上token进行有效验证?3年前@程序猿DD
回答3
只看作者最新最热