Django 框架基础11：CSRF跨站请求、同源策略

1、CSRF介绍

• CSRF全拼为 Cross Site Request Forgery译为跨站请求伪造。
• CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。包括:以你名义发送邮件,发消息,盗取你的账号,至于购买商品虚拟货币转账等。
• 造成的问题:个人隐私泄露以及财产安全。

原理：CSRF攻击示意图：客户端访问服务器时没有同时同服务器 做安全验证

2、如何防范

短信验证码：手机普及之后，2005年以后

随机码放在cookie中

3、同源策略

先来说说什么是源：

• 源(origin）就是协议、城名和端口号。
• ur中的源就是：http://www.company.com:80
• 若地址里面的协议、城名和端口号均相同则属于同源。+

以下是相对于http://www.a.com/test/index.html的同源检测。

• http://www.a.com/dir/page.html---成功：
• http://www.child.a.com/test/index.html----尖败，城名不同+
• https://www.a.com/test/index.html---失败，协议不同：
• http://www.a.com:8080/test/index.html---失败．端口号不同

什么是同源策略：

同源策略威浏览器的一个安全功能，不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源。所以 a.com 下的 js 用 ajax 读取 b.com 里面的文件数据是会报错的。。