Token是如何防止CSRF的

每次修改敏感信息的時候，后端調用一個函數。實際系統更復雜。將token值放到session里面以后，同時發給前端。

登錄，修改一下地址，看看數據包

把請求復制出來

http://192.168.0.100/pikachu/vul/csrf/csrftoken/token_get_edit.php?sex=girl&phonenum=12345678922&add=beijing+XXX&email=lucy%40pikachu.com&token=394845dc6d33bb941f740060195&submit=submit

多出來一個token值。

打開web控制台，發現每次訪問修改頁面時，就會訪問那個PHP文件，修改token的函數

看看大的表單，token返回到了前端。提交修改后token返回給后台驗證。和session里面的一樣才讓你提交。

防范措施

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 token 防止csrf WEB 防止CSRF攻擊 csrf_token 驗證 token防御CSRF攻擊 CSRF Failed: CSRF token missing or incorrect .net mvc 防止 xss 與 CSRF token防止重復提交 Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN' Spring MVC中防止csrf攻擊 django rest framework csrf failed csrf token missing or incorrect