本文解释了浏览器为何要限制跨域访问,并通过案例说明了CSRF攻击的原理,强调了从网站端解决跨域问题的重要性,提出了检测POST数据来源、添加access token等有效方法。
为什么浏览器要限制跨域访问?
能举例说明吗?
防止CSRF攻击,比如说有两个网站 A和B。
你是A网站的管理员,你在A网站有一个权限是删除用户,比如说这个过程只需用你的身份登陆并且POST数据到 http://a.com/delUser,就可以实现删除操作。
好现在说B网站,B网站被攻击了,别人种下了恶意代码,你点开的时候就会模拟跨域请求,如果是针对你,那么就可以模拟对A站的跨域请求,恰好这个时候你已经在A站登陆了。那么攻击者在B站内通过脚本,模拟一个用户删除操作是很简单的。
面对这种问题,有从浏览器解决,但个人认为最好是从网站端解决,检测每次POST过来数据时热refer,添加accesstoken等都是好方法。希望对你有帮助
你是A网站的管理员,你在A网站有一个权限是删除用户,比如说这个过程只需用你的身份登陆并且POST数据到 http://a.com/delUser,就可以实现删除操作。
好现在说B网站,B网站被攻击了,别人种下了恶意代码,你点开的时候就会模拟跨域请求,如果是针对你,那么就可以模拟对A站的跨域请求,恰好这个时候你已经在A站登陆了。那么攻击者在B站内通过脚本,模拟一个用户删除操作是很简单的。
面对这种问题,有从浏览器解决,但个人认为最好是从网站端解决,检测每次POST过来数据时热refer,添加accesstoken等都是好方法。希望对你有帮助
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
