关于跨站请求和Laravel的Csrf

  • A 我们的网站 \n

  • B 钓鱼网站 ,有妹子\n

  • 场景 \n

  • A站有做CSRF保护!\n

  • 用户登录了A网站 同时手贱点开了B网站 \n

  • 然后攻击开始 \n

  • 首先B要获取到TOKEN? TOKEN如何来? \n

  • B在此时 做一个JS脚本 这个脚本目的是把响应的所有内容全部拿到 \n

  • 请求地址大概是www.bank.com/getTransferMoneyForm。 \n

  • 如果这时候用户必须处于打开我们网站的状态 \n

  • 然后B站匹配类似csrf的字眼并获取该value的值! 拿到后直接通过ajax请求A站

  • 用户窃取信息!\n

  • 攻击是否可以完成 ? 答案 可以。\n

  • 问题?\n

  • A站虽然做了CSRF但是。问题是中间有漏洞。\n

  • 如何避免?\n

  • 如果A站在服务端做一个获取www.bank.com/getTransferMoneyForm这个页面 \n

  • 也做一层 TOKEN验证会发生什么?\n

  • 在进一步。如果针对登录用户每一次都做一个TOKEN验证的话,那么完全防住Csrf \n

  • 攻击呢?\n

  • 也许吧。到这里我忽然想到的就是JWT。是的,现在前后端正想这个方面发生改变!\n

  • 问题?那么Laravel里面的Csrf还有意义吗?

  • @jellyBool 大神怎么看

foxriver123
修改的评论也不能少于六个字哦!
foxriver123
修改的评论也不能少于六个字哦!
JellyBool 回复 foxriver123
修改的评论也不能少于六个字哦!