原理 本质上是一种身份窃取,一般会与XSS一同使用,在截获用户cookie后,欺骗用户浏览器,让其以用户的名义运行操作。 payload 没有通用的payload,一般会根据渗透目标定制url。 防范 检查Referer字段。 有一定的防护能力,但也存在使用反射XSS进行绕过的风险。添加校验token。 即用户在访问敏感数据请求时,要求用户浏览器提供不保存在cookie中,并且攻击者无法伪造的数据作为校验,那么攻击者就无法再运行CSRF攻击。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
