CSRF漏洞,举个栗子:就是用户登录的情况下,如果提供了一个带有删除操作的按钮,用户点击了该按钮,后台数据就真的删了。
(简单的做法,可以通过 “数据加密 + token” 的方式,让表单的数据变得更加复杂,无法轻易复制,
但是,因为BS架构的特殊性,页面源码都是对外开放的,想要攻击始终还是有办法,不过这已经不属于CSRF漏洞了)
Security的做法:通过模版引擎,直接将token渲染到页面上,通过代码控制,token可以藏在页面任意一个位置,每次提交表单,需要带上这个token。
在开始试用Security,为了方便通常会先禁用csrf,启用csrf先禁用掉下面这一行
//启用CSRF,放置CSRF攻击 //http.csrf().disable();
在登录页面的表单中加入token
其它页面与登录页面类似,需要在表单中增加token字段。
京公网安备 11010802041100号