问题存在多处,我就随便拿一处举例了。涛涛电脑知识网
在证明中,我把用户的所有邮件转发垤指定的邮箱中去,这破坏超大吧?
发封html邮件给要攻击的人
因为sohu只认post请求,所以构建一个外站链接,由外站发起post请求
点了邮件中的链接后
来看看外站内容
bingo! 战果
修复方案:
csrf常规处理了,你们会的。 如果改动比较大,那起码检测一下referer。
问题存在多处,我就随便拿一处举例了。涛涛电脑知识网
在证明中,我把用户的所有邮件转发垤指定的邮箱中去,这破坏超大吧?
发封html邮件给要攻击的人
因为sohu只认post请求,所以构建一个外站链接,由外站发起post请求
点了邮件中的链接后
来看看外站内容
bingo! 战果
修复方案:
csrf常规处理了,你们会的。 如果改动比较大,那起码检测一下referer。