- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
在阅读了许多有关 CSRF 的文档后,我仍然有点困惑。所以我希望有人可以向我解释一下:
最佳答案
您的观点不太正确...但是以这种情况为例。
示例攻击
假设一个用户登录到 假国官方银行 - GoodBank.com,余额为 1,000,000 黄金。
在 MaliciousSite.com
,有一个<img>
或其他一些通用的 JavaScript 导致您向 GoodBank.com
发出请求.<img>
有一个 src
的 http://www.goodbank.com/account/transfer.php?amount=10000&sentTo=malicioususer
.
现在,该站点已在您的用户帐户下发出请求,并导致您调用了一个您本来不会拥有的页面。
现在,您可能认为您可以通过仅使用 POST 来防止这种情况,但这些也不安全。
正确的方法是在表单中使用 CSRF token ,并且在提交表单时,您应该检查您收到的 CSRF token 是否与发出的相同。
不要使用 these measures to protect yourself :
<form action="/transfer.do" method="post">
<input type="hidden" name="CSRFToken" value="OWY4NmQwODE4ODRjN2Q2NTlhMmZlYWEwYzU1YWQwMTVhM2JmNGYxYjJiMGI4MjJjZDE1ZDZjMTVi
MGYwMGEwOA==">
…
</form>
关于csrf - 好像我对 CSRF 的理解有误?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7275104/
在引用此文档pressable docs之后,我将Pressable用于按钮 现在,我想向按钮添加波纹效果,但是它无法正常工作。 Button 如果按钮具有
在 C# 中,我想制作“智能”枚举,这在 Java 中是可能的,其中有更多信息附加到枚举值,而不仅仅是底层 int。我偶然发现了一个创建类(而不是枚举)的方案,如以下简单示例所示: public se
当执行 git stash 时,会创建 2 个提交。一个被 stash ref 引用并且有 2 个父提交。一位 parent 是我们 stash 地点的索引。另一方拥有我们 stash 的实际内容。
我是一名优秀的程序员,十分优秀!