金融项目开发～安全之csrf

金融项目开发～安全之csrf

最近都在写关于安全的一类文章～都是个人公司项目里学到的东西～大牛路过的话～就随意看看就好了～有什么问题求指正～ 我个人认为金融公司对安全应该多做研究～ 记得去年有一家金融公司～被一群人薅了羊毛～ 如果想了解这个情况～自己百度搜“快操盘事件” csrf是什么呢？～跨站请求伪造～ 和xss相比貌似危害大一些～ 它的作用可以假装是你～ 然后用你的身份去干一件事～ 这个事情可能是修改你用户名这么简单～ 也可能是将你账户里的钱转给他这么恐怖～ 这种漏洞在于用户在某网站的会话（session）没过期，但是去访问了一个危险网站～ 于是你的信息被盗取去干一些坏事～ 怎么去解决呢？ 在spring security在框架中有csrf防护～ 大概思路就是生成的一个token（网上有细讲的）～ 去验证这次请求的安全性～ 还有一个解决办法是refer 验证 refer~什么的，但是不是很好，refer这种东西貌似可以伪造～

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。