图中 Browse 是浏览器,WebServerA 是受信任网站/被攻击网站 A,WebServerB 是恶意网站/点击网站 B。

(1) 一开始用户打开浏览器,访问受信任网站 A,输入用户名和密码登陆请求登陆网站 A。

(2) 网站 A 验证用户信息,用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器。

(3) 用户登陆网站 A 成功后,可以正常请求网站 A。

(4) 用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 访问网站 B。

(5) 网站 B 看到有人方式后,他会返回一些攻击性代码。

(6) 浏览器在接受到这些攻击性代码后,促使用户不知情的情况下浏览器携带 Cookie(包括

sessionId)信息,请求网站 A。这种请求有可能更新密码,添加用户什么的操作。

解决办法:定义csrf_token函数, 在表单中添加 from.csrf_token, 在客户端的cookie中设置csrf_token

最新文章

  1. TTTAttributedLabel xib sb lineSpacing not working
  2. Codeforces Round #371 (Div. 2) C
  3. debain 8为Iceweasel安装flash播放器
  4. 《BI项目笔记》基于雪花模型的维度设计
  5. Ubuntu下修改system.img 解包system.img、打包system.img
  6. jQuery Jcrop API参数说明(中文版)(转)(图片剪切)
  7. druid简介
  8. iOS-获取UIView的全部层级结构
  9. HBase的基本操作
  10. hadoop编程小技巧(7)---自己定义输出文件格式以及输出到不同文件夹
  11. The Native POSIX Thread Library for Linux - 设计文档
  12. SESSION 与 COOKIE的区别是
  13. C#的一些小知识
  14. VC++6.0 add files to project 造成Visual Studio崩溃的解决方法
  15. BZOJ.1805.[IOI2007]sail船帆(贪心 线段树)
  16. 与数论的厮守01:素数的测试——Miller Rabin
  17. 【pyspider】关于匹配html的数据
  18. [z]分区truncate操作的介绍及对全局索引和空间释放影响的案例解析
  19. springboot配置hibernate jpa多数据源
  20. Netty Associated -- ByteBuf

热门文章

  1. MySQL参数优化:back_log
  2. 建库,建表,添加数据 SQL命令
  3. 【转】centos7 搭建etcd集群
  4. PHP 正则表达式--转(川山甲)
  5. Elastic serarch 安装
  6. tomcat 服务器故障排除
  7. illustrator画梯形
  8. 【1】ASP.NET异步(1)
  9. la3890(半平面交)
  10. CountDownLatch同步辅助类