Anti CSRF Token CSRF攻擊存在的本質(zhì)原因還是網(wǎng)頁中重要操作的所有參數(shù)都是可以被攻擊者猜測(cè)到的。攻擊者只有預(yù)測(cè)出url所有參數(shù)與參數(shù)值,才能成功地構(gòu)造一個(gè)偽造的請(qǐng)求。所以我們可以通過把參數(shù)加密,或者使用一些隨機(jī)數(shù),從而讓攻擊者無法猜測(cè)到參數(shù)值。 我們可以給請(qǐng)求新增加一個(gè)token,這個(gè)token值是隨機(jī)的。
www.dbjr.com.cn/hack/5754...html 2017-9-5