我是哈哈怪,每天笑哈哈. go/php开发, 业余喜欢写技术文章,欢迎交流.
讨论数量:
https 就没有抓包被抓到的问题了
HTTPS 不香吗
抓包都拿到你的登录 cookie 了,还在乎你这个 csrf 吗 ^_
是真的好好理解一下概念去。都抓包了,自己抓自己?有意思吗
防抓包使用 https。
csrf 解决的问题是跨站提交,如你登陆了 learnku,即使你关闭了 learnku 但还是保持着登陆状态。你又访问了其他恶意网站,它构建了一个 https:learnku.com/xx 表单,由于请求会携带网站的 cookie , 所以成功设置了你的头像。而恶意网站不可能知道你的 csrftoken 的,所以也就无法成功请求。
在 thinkphp 中有一个 token 机制每次刷新都会产生新的 token,对不上就会提交失败. 也无法防止抓包的
关于 LearnKu
粤公网安备 44030502004330号
推荐文章: