CSRF漏洞,舉個栗子:就是使用者登入的情況下,如果提供了一個帶有删除操作的按鈕,使用者點選了該按鈕,背景資料就真的删了。
(簡單的做法,可以通過 “資料加密 + token” 的方式,讓表單的資料變得更加複雜,無法輕易複制,
但是,因為BS架構的特殊性,頁面源碼都是對外開放的,想要攻擊始終還是有辦法,不過這已經不屬于CSRF漏洞了)
Security的做法:通過模版引擎,直接将token渲染到頁面上,通過代碼控制,token可以藏在頁面任意一個位置,每次送出表單,需要帶上這個token。
在開始試用Security,為了友善通常會先禁用csrf,啟用csrf先禁用掉下面這一行
//啟用CSRF,放置CSRF攻擊
//http.csrf().disable(); 在登入頁面的表單中加入token
其它頁面與登入頁面類似,需要在表單中增加token字段。
瘋狂的妞妞 :每一天,做什麼都好,不要什麼都不做……
![Kafka:Topic概念與API介紹[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)