CSRF
百度百科事典を参照
http://baike.baidu.com/view/1609487.htm
この攻撃は、許可されたユーザーがアクセスするページにリンクまたはスクリプトを組み込むことによって行われます。たとえば、Web サイト ユーザーのボブがチャット フォーラムを閲覧しているときに、別のユーザーのアリスもこのフォーラムに参加しており、後者はボブの銀行へのリンクを含む画像メッセージを投稿したとします。 アリスがボブの銀行サイトにお金を引き出すためのフォームを送信するためのリンクを書き、このリンクをイメージタグ として使用すると想像してください。ボブの銀行が認証情報を Cookie に保存しており、この Cookie の有効期限が切れていない場合、ボブのブラウザは画像をロードしようとするときに出金フォームと彼の Cookie を送信するため、このインシデントはボブの同意なしに認証されます。
赤いマークは何を意味します
単純なHTML構造で書けるでしょうか
例:
上記では www.xxx.com
にリクエストは送信されません。
-----解決策--------------------------------来て学びましょう
-----解決策---------間違いです。リンクは src に直接書き込まれています。もちろん、このリンクはもっと賢明であるべきです
そして銀行は get メソッドを受け入れなければなりません --> 今、これについてこれほど愚かな銀行はありませんよね?
他の一部の Web サイトでは
を実行できる場合があります。
投稿メソッドを使用したい場合は、クリックなどのいくつかのアクションを実行する必要があります
しかし、一般的にこれは実現不可能であり、特に銀行では基本的にそれを排除している
-----解決策-------------- -- ----あなたは記事の内容をはっきりと読んでいなかったため、記事が間違っているのではないかと疑ったのです
現在、get の送信はほとんどありませんが、彼が言及した可能性はまだ存在します
さらに、彼は以下の投稿についても声明を出しています
-----解決策--------- 銀行には興味がありません。現在、その銀行は支払いパスワードを持っています。また、渡されたパラメータにはキーも含まれています。 html タグが変換を処理します。そうしないと、JavaScript を入力するとさらに状況が悪化します。