在线观看不卡亚洲电影_亚洲妓女99综合网_91青青青亚洲娱乐在线观看_日韩无码高清综合久久

鍍金池/ 問答/Java  HTML/ WEB CSRF防御問題

WEB CSRF防御問題

WEB前端的一個問題,我手中有一個java寫的http Server,調(diào)用的是開源的Nanohttpd,頁面上數(shù)據(jù)的提交都是通過
xhttp.open("POST", url, true);
xhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
xhttp.send("");
實現(xiàn)的,請問這種方式我如何實現(xiàn)CSRF攻擊,我查了資料說可以添加token,我該怎么添加?

回答
編輯回答
悶油瓶

可以驗證referer

2017年4月28日 11:00
編輯回答
奧特蛋

檢查referer字段
HTTP頭中有一個Referer字段,這個字段是用來標明請求來源于哪一個網(wǎng)址。通常來說,Referer字段應(yīng)和請求的地址是在同一個域名下的。服務(wù)器可以通過判斷Referer字段來判斷請求的來源。
這種方法簡單易行,但也有其局限性。http協(xié)議無法保證來訪的瀏覽器的具體實現(xiàn),可以通過篡改Referer字段的方式來進行攻擊

使用token
token不存放在cookie中,那么攻擊者就無法得到這個隨機生成的token,就無法執(zhí)行CSRF攻擊

https://blog.csdn.net/ran_max...

2018年7月6日 06:52
編輯回答
離夢

用戶登錄后生成一個唯一的token,傳給前端,前端每次發(fā)送請求的時候都帶上這個token作驗證

2018年2月9日 01:56