1、CSRF漏洞的防范
方法一:添加Form Token
基本思路:
step 1、在服务器端生成一个随机的token,如用token=md5(time()+userName);
step 2、把token存入session或者数据库;
step 3、把token存入待输出页面的某个元素中,如input-hidden;
step 4、所有往服务器端的发送请求都带上该token;
step 5、验证token是否匹配
方法二:HTTP Referer验证是否请求同源
2、JSON-HIJACKING (CSRF变体)防范
核心思想:当这些数据被外部引用时,破坏其正常的执行。
方法一:
对JSON,JSONP等数据头添加:while(1){}
方法二:
注释掉数据,在页面内还原。
