思考:伏地魔是怎么在《哈利·波特与密室》 中是怎么搞事儿的?
csrf介绍
Cross-site request forgery(跨站请求伪造)
原理
小白在一个csgo的交易平台里面经常交易手套,因为他的远见卓识,通过交易手套(cookie 验证交易接口),小赚了一笔。
这时,烂仔盯上了他,在他 低价批量 买入手套的时候 ,通过给他发 烂仔自己构造的 劲爆图片网站,成功把他的手套全部转到了烂仔的户头上。
这中间 因为 浏览器 保存了 小白的cookie ,而烂仔自己的网站访问了 交易接口 导致小白的手套 白送给了 烂仔。
待到手套涨价时,小白苦兮兮,烂仔笑嘻嘻~
csrf 防御
- 尽量使用post请求(多整几个参数,让hacker看不懂)
- 加入验证码 (过程整复杂点,看你怎么构造)
- 验证referer (你的上一步也会被我看穿哦)
- Anti CSRF Token(高优,老子生成一个token,看你啷个偷)
- 加入自定义Header(老子自定义,你莫法了撒哈哈)
总结:伏地魔通过里德尔的日记,一步步引导别人,利用别人做本不可能做的事,到处搞事,我觉得这就是CSRF 之道,借刀杀人。
标签:自定义,烂仔,小白,手套,csrf,借刀杀人 From: https://www.cnblogs.com/hxdyjx/p/18039791