ホームページ > バックエンド開発 > PHPチュートリアル > CSRF、それを解決する方法

CSRF、それを解決する方法

WBOY
リリース: 2016-06-13 12:54:06
オリジナル
1145 人が閲覧しました

CSRF
百度百科事典を参照
http://baike.baidu.com/view/1609487.htm


この攻撃は、許可されたユーザーがアクセスするページにリンクまたはスクリプトを組み込むことによって行われます。たとえば、Web サイト ユーザーのボブがチャット フォーラムを閲覧しているときに、別のユーザーのアリスもこのフォーラムに参加しており、後者はボブの銀行へのリンクを含む画像メッセージを投稿したとします。 アリスがボブの銀行サイトにお金を引き出すためのフォームを送信するためのリンクを書き、このリンクをイメージタグ として使用すると想像してください。ボブの銀行が認証情報を Cookie に保存しており、この Cookie の有効期限が切れていない場合、ボブのブラウザは画像をロードしようとするときに出金フォームと彼の Cookie を送信するため、このインシデントはボブの同意なしに認証されます。

赤いマークは何を意味します

単純なHTML構造で書けるでしょうか

例:CSRF、それを解決する方法
上記では www.xxx.com
にリクエストは送信されません。


-----解決策--------------------------------
来て学びましょう
-----解決策---------
間違いです。リンクは src に直接書き込まれています。もちろん、このリンクはもっと賢明であるべきです

そして銀行は get メソッドを受け入れなければなりません --> 今、これについてこれほど愚かな銀行はありませんよね?
他の一部の Web サイトでは
を実行できる場合があります。
投稿メソッドを使用したい場合は、クリックなどのいくつかのアクションを実行する必要があります
しかし、一般的にこれは実現不可能であり、特に銀行では基本的にそれを排除している

-----解決策-------------- -- ----
あなたは記事の内容をはっきりと読んでいなかったため、記事が間違っているのではないかと疑ったのです
現在、get の送信はほとんどありませんが、彼が言及した可能性はまだ存在します
さらに、彼は以下の投稿についても声明を出しています
-----解決策---------
銀行には興味がありません。現在、その銀行は支払いパスワードを持っています。また、渡されたパラメータにはキーも含まれています。 html タグが変換を処理します。そうしないと、JavaScript を入力するとさらに状況が悪化します。
関連ラベル:
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート