表单 AJAX 提交执行 CSRF 安全过滤

Posted 2021-04-15 闲聊说

当前浏览器不支持播放音乐或语音，请在微信或其他浏览器中播放      CSRF(Cross - site request forgery) 跨站请求伪造是一类常见编程漏洞。对于存在 CSRF 漏洞的应用/网站，攻击者可以事先构造好 URL ，只要受害者用户一访问，后台便在用户不知情情况下对数据库中用户参数进行相应修改。

思路：

1、跳转页面前生成随机token，并存放在session中

2、form中将token放在隐藏域中，保存时将token放头部一起提交

3、获取头部token，与session中的token比较，一致则通过，否则不予提交

4、生成新的token，并传给前端