csrf 跨站请求伪造原理防御手段利用
原理:利用目标用户的合法身份,以目标用户的名义执行某些非法操作。强制终端用户在当前对其进行身份认证后的web应用程序上执行非本意操作(伪造更改状态请求,利用社工诱骗用户执行hacker选择的操作)防御手段1.二次认证2.HTTP referer3.token4.HTTP自定义头利用无防御:POC(get)Referer认证:修改文件名绕过认证token认证:利用b...
