SCRF (跨站请求攻击)

很多时候我们访问网站登录后并没有点击退出、其实cookie还保存在你的服务器中

服务器会默认填充

关闭网页后过了很久 （浏览器没有关闭）

再次访问网页 发现还是登陆状态

Cookie是保存在浏览器中的

浏览器会判定你访问的站点 自行匹配 cookie

通过代码

 

 

原理

已经访问了A站

访问了B站（B站中存在一段JS代码要求浏览器去访问A）

浏览器认为是本人去访问A站 直接去访问

浏览器会偷偷发送数据包、将A站中存储Cookie发送给自己

 

scrf会自动填充cookie 只能利用 不能偷取

防止：

1、加验证码

2、设置token 一个验证机制