#转载请留言联系
CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......
原理其实很简单。举个简单的例子。A是一个很有钱的人,B是专门帮人托管钱的人,相当于银行的角色,C是偷窃者。A和B约定,有人叫你给钱你就给钱。A把钱放在B那里。平时A就去问B拿钱,B就直接给钱给他。某一天,C也问一下B拿钱,B也直接给钱给C了,C这时候就相当于偷了A的钱。这就是csrf的攻击原理。
解决办法的原理也很简单,就是A和B约定一下暗号,C来问B拿钱时,对不上暗号,自然就拿不到钱了。
3.代码
(1)模拟CSRF攻击
(2)阻止CSRF攻击
(3)用 flask 的flask_wtf 模板实现阻止 CSRF 攻击
代码可以保存在:https://github.com/chichungceng/CSRF
原文:https://www.cnblogs.com/chichung/p/9782218.html