跨站請求僞造:html
簡單的說跨站請求僞造就是一些惡意的用戶用本身的表單僞造網頁實際的表單發送數據,接下來我就隨便寫一點:瀏覽器
跨站僞造的產生(form表單的methoud只有在等於post的時候纔會有可能發生跨站,get請求不存在,直接上例子吧,看着比較清晰,寫來寫去麻煩的)安全
首先先展現一下有可能存在跨站的代碼作一展現:ide
若是是正常的用戶在點擊提交的時候會彈出以下頁面:(爲了方便直接在本地測試)post
正經常使用戶訪問的時候瀏覽器彈出的頁面:測試
但是有部分非法用戶,,他會把你的源代碼拷走,在本地新建HTML文檔進行訪問,接下來咱們就試試這種非法勾當3d
這是我在本地新建的測試頁:orm
當我點擊提價按鈕的時候仍是會彈出那可框:htm
利用這個漏洞,就會有一些非法的用戶提交一些非法的信息:blog
防禦:(就加下邊的這一行)
此時重新從僞造的那個頁面訪問:
此時查看正常訪問的網頁源代碼:
其實這樣還能夠繼續僞造,採用驗證碼的方式會比較安全,,不過這會沒時間了,寫的博客也是一團糟。。。