yii 中csrf与xss

谭佳成
2018-10-27
(58)

csrf(Cross-site request forgery)

什么是csrf

伪造网站信任用户发起相关请求

防止方法

通过类似验证码的方式,证明是“自己人”,是才让继续

大概步骤:

0:本站生成字符串,保存到cookie或session,默认保存到cookie
1:分析非安全请求内容(header、post、put),判断是否有字符串
2:有,分析和本站生成规则是否一致
3:一致,则通过,让请求数据

yii中如何禁用

方法一:全站禁止,配置文件->false
方法二:只禁用验证,将控制器中属性设为false
方法三:只禁用某个控制器的方法,init构造方法内,将组件false

与xss区别

xss(Cross-site scripting)跨站脚本攻击
向网站注入代码,执行


小故事理解csrf与xss的区别,摘至知乎:


妈妈:给我看着衣服
小孩:好的

小偷来

正常工作:
小孩:你是谁?
小偷:我叫张三
小孩:妈妈,有人偷衣服
妈妈:谁?
小孩:张三
小偷被捉

xss:
小孩:你是谁?
小偷:我叫逗你玩
小孩:妈妈,有人偷衣服
妈妈:谁?
小孩:逗你玩
妈妈:。。。


csrf是让用户在不知情的情况,冒用其身份发起了一个请求
小偷:你妈妈喊你去买洗衣粉

如无说明,本站文章均为原创,转载或引用注明来源:https://93jc.cn/article/175.html


上一篇:trait