Token是如何防止CSRF的?
CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造?
-每次请求,都增加一个随机码(需要够随机,不容易伪造),后台每次对这个随机码进行验证!
用bp抓包,post型的:
CSRF(token)项目的token生成代码:
有两点注意:
1.要生成新的
2.销毁旧的
最后,在后台有个这样的判断:
$_GET[]= $_SESSION[] 里面的是token
值,行了才能通过。
除了token,还有防范:
最后一点,验证码是人机交互的过程,
最好是登陆时用,修改信息提交的表单最好不要用。
不人性化,太麻烦,产品经理不会让你过的。。。