1.csrf攻击过程分为五步,其中完成攻击的是有害网站带着已登录可信网站的用户的cookie向可信网站发起请求,通过cookie假冒已登录用户的身份登录,将用户的敏感信息发送给攻击者。
2.防御csrf的策略:检查Referer添加并验证token相结合
问题来了,怎么保证token的安全,token应该存放在哪里?
放在cookie中,设置httponly属性,cookie被攻击者发送给服务器时,token也被发送了,起不到作用。
那么怎么保存token呢,淘宝、京东之类的是怎么做的呢,请各位不吝赐教。
Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
1
959
收藏
认证高级PHP讲师