怎么防止跨站攻擊:
表單:在 Form 表單中添加一個隱藏的的字段,值是 csrf_token。
非表單:在ajax獲取數據時,添加headers:{ 'X-CSRFToken':getCookie('csrf_token') }。
原理:在瀏覽器訪問網站A時,網站A設置cookie會增加隨機值csrf_token,這個值是隨機的。返回給瀏覽器時,cookie會儲存在瀏覽器,同時會把csrf_token傳給表單里面的隱藏字段。所以當瀏覽器用自己的表單時會自帶csrf_token,網站A取到這個值和cookie里的csrf_token一致就通過。而網站B里面的表單沒有這個值,所以不能通過,這樣就阻止了惡意攻擊。非表單也是這樣的原理。
CSRF:無法獲取受害者的cookie,無法看到cookie;
只是利用受害者是被服務器信任的(靠驗證cookie),而給服務器發送請求;