[CSRF漏洞]概念原理，get型，post型，token措施

本文主要是介绍[CSRF漏洞]概念原理，get型，post型，token措施，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

Cross-site request forgery

简称为“CSRF”，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。

get型

漏洞判断：

修改敏感信息时，使用bs进行抓包，查看get传参的信息，如果没有token之类的话

利用：

修改敏感信息时，使用bs进行抓包，查看get传参的信息，将信息和URL进行进行组合，修改信息中的传参信息，把链接发送给用户就可以了

post型

类似xss的post型

修改敏感信息时，使用bs进行抓包，修改包post中的信息，建立一个恶意站点，把恶意站点发给用户，用户点击恶意站点时，将修改后的敏感信息的包发送给这个存在csrf漏洞的网站

TOKEN

每次打开修改界面，都会服务器生成一个唯一，随机的token，然后发送给前端，提交信息时token也要一同提交

如果采取了token措施，修改操作是黑客所为时，黑客的传参中就必须有token，然鹅黑客不可能猜到token，或者token压根不存在

token对csrf很有效

 后端TOKEN的生成例

这篇关于[CSRF漏洞]概念原理，get型，post型，token措施的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！