客户端安全-csrf

1.需求

理解并掌握CSRF攻击和防御

2.csrf的产生

盗个图说明（http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html）

B伪造成C,向A发起请求，达到了请求伪造的目的。

3.解决方式

1.处理表单数据的时候加一个标志,csrf_token。服务端生成，生成方式可以包含时间戳并加密，返回给客户端，每次客户端请求的时候要带上这个csrf_token，服务端验证，验证过了才执行真实的请求。（唯一的问题就是2个表单同时打开，会出现csrf_token覆盖的问题。可以提示前端，会话失效，请刷新页面）

2.把token存在表单和cookie中，提交的时候验证相等，缺点是token信息都在客户端（一个表单内，一个cookie中）, 可被别人获得

2.用验证码图片。也是一个道理。

4.解决方案

参考CI的框架的解决方案

 

 

参考资料:

（http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html）