第二点是“伪造”,这也是CSRF攻击的核心点,即伪造的请求 。我们来想一下,攻击者为什么能够伪造请求呢?换句话说,攻击者能够伪造请求的条件是什么呢?纵观之前我们伪造的所有请求,无一例外,请求中所有参数的值都是我们可以预测的,如果出现了攻击者无法预测的参数值,那么将无法伪造请求,CSRF攻击也不会发生 。基于这一点,可以使用添加验证码和使用一次性token的方式防御此类攻击,但是正如世界上没有完美的系统一样,也没有完美的防御方式,都是在不断的变化与改进当中 。
从上面的例子我们可以看出,制造钓鱼网站,理论上可以获取你浏览器保存的几乎所有数据 。所以,不信任的网站,不要轻易点击 。上面的例子也仅仅只是csrf最最基础的应用,但是如果是此类攻击,也逃不过使用这种方式 。只不过会使用这种方式再加各种类型的变种,或结合其他的攻击方式,对其进行攻击 。
推荐阅读
![[钟南山]科技连接健康,华米科技携钟南山院士团队共建联合实验室](http://ttbs.guangsuss.com/image/472def0d65db67c2882faff65406ed8c)
- 新手学习电脑渗透的基础知识掌握
- kali渗透:web登录密码嗅探神器SSLstrip,这样使用才是正确姿势
- 早期痔疮的症状
- 肺癌会传染吗
- 大学生|大学生曾是全村的骄傲,现在逐渐沦为社会“底层”人,原因好悲哀
- 减肥锻炼什么时间最好呢
- 中年男性应该怎样健身
- 初中学生假期社会实践报告范文 中学生社会实践报告
- 阴囊上有红色血点
- 花胶保质期多久