想扒一下知乎 然後看到postdata裏有_xsrf的隨機數字串 百度了下
跨站請求僞造(cross-site request forgery)通常縮寫爲XSRF,直譯爲跨站請求僞造,即***者通過調用第三方網站的惡意腳本或者利用程序來僞造請求,當然並不需要向用戶端僞裝任何具有欺騙的內容,在用戶不知情時***者直接利用用戶的瀏覽器向***的應用程序提交一個已經預測好請求參數的操作數據包,利用的實質是劫持用戶的會話狀態,強行提交***者構造的具有“操作行爲”的數據包。可以看出,最關鍵的是劫持用戶的會話狀態,所以說,導致XSRF漏洞的主要原因是會話狀態的保持沒有唯一時間特徵的標識,即是說在使用HTTPCookie傳送會話令牌的過程中,應該更謹慎的判斷當前用戶,而不是簡單的通過操作數據包的Cookie值來鑑別,簡單的說是每次數據交互時,對提交的數據包實行唯一性標識。
XSRF***流程大致如下:
從上圖可以看出,要完成一次XSRF***,比較關鍵的三個問題:
1) 會話狀態[A]的保持,即用戶已經獲取了易受***網站A的信任授權。
2) 用戶在依然保持沒有登出易受***網站A的情況下,訪問了“第三方網站”。
3) 提交的“操作”數據包是可以預知的。
國內的許多大型WEB程序開發者好像對XSRF沒有足夠的重視,這些看似需要特定場景才能誘發的漏洞,在結合XSS後,想來威脅應該不在注入之下。