未经许可,不得转载。
文章目录
- CSRF
- Referer
- 绕过Referer
- 实战案例
CSRF
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种攻击方式,其中攻击者诱使用户在已登录的情况下执行不安全的操作。例如,攻击者可能诱导用户访问一个恶意网站B,B网站上可能会发送伪造的请求到用户已经登录的A网站,从而执行一些未经授权的操作,比如从A网站转账给hacker。
这个时候,请求是由B网站发送至A网站的。
为了防御CSRF,即确保A网站的服务器只处理来自于一个合法的、可信的来源,Referer就产生了。
Referer
Referer 是 HTTP 请求头中的一个字段,表示用户当前页面的来源,即用户是从哪个页面链接过来的。它通常由浏览器自动发送。
当用户在进行重要操作(如修改账户信息、进行转账等)时,服务器会检查 Referer 是否为一个合法的、可信的来源。如果 Referer 不匹配,服务器会拒绝执行请求。
绕过Referer
当服务端只判断当前的Referer中是否具有可信的域名时&#
