理解并掌握CSRF攻击和防御
盗个图说明(http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html)
B伪造成C,向A发起请求,达到了请求伪造的目的。
1.处理表单数据的时候加一个标志,csrf_token。服务端生成,生成方式可以包含时间戳并加密,返回给客户端,每次客户端请求的时候要带上这个csrf_token,服务端验证,验证过了才执行真实的请求。(要注意防止xss引起的cookie劫持)
2.用验证码图片。也是一个道理。
参考CI的框架的解决方案
参考资料:
(http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html)
原文:http://www.cnblogs.com/norm/p/6211966.html