CSRF
CSRFスペルはCross Site Request Forgery、翻訳されたクロスサイトリクエストフォージェリ。CSRF攻撃者があなたに代わって、悪質なリクエストを送信するためにあなたのアイデンティティを盗みました。- 含む:あなたのアカウントを盗む、電子メール、メッセージングの名前を送信し、商品の購入にも、仮想通貨転送する......
- 個人のプライバシーや財産の安全性の開示:によって引き起こされる問題。
CSRFは、概略的な攻撃します
- サーバーにアクセスするとき、クライアントは、同じサーバーのセキュリティ検証をしませんでした
CSRF攻撃を防ぎます
ステップ
- クライアントは、リアへのインタフェースデータを要求すると、後端がクッキーcsrf_token応答の値に設定されています
- 隠しフォームフィールドの値の形式で追加もcsrf_tokenされます
- ユーザーがクリックを送信すると、我々はこれら2つの値をもたらす背景に要求を開始
- バックエンドは、いくつかのイベントになります以下の要求が受信します:
- クッキーcsrf_tokenから削除
- 隠されたcsrf_tokenのフォームデータの値から削除
- 比較します
- 2後などの比較値があれば正常でない要求を表す、同じ以下を取らない場合、それは、通常の要求を表す、次のステップは実行されません