版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/cc_whale/article/details/79238611
csrt攻击的原理和防御
阿里巴巴Java开发手册 安全规约
[强制]表单,ajax提交必须执行CSRF安全过滤。
说明:CSRF(Cross-site request forgery)跨站请求伪造是一类常见编程楼栋。对于存在CSRF漏洞的应用/网站,攻击者事先可以构造好URL,只要受害用户一访问,后台便在用户不知情情况下对数据库中用户参数进行相应修改。
<!-- csrf攻击防御 商城使用拦截器-->
<mvc:interceptor>
<!-- 需拦截的地址 -->
<mvc:mapping path="/memberAddress/**" />
<mvc:mapping path="/memberInfo/**" />
<!-- 需排除拦截的地址 -->
<mvc:exclude-mapping path="/static/**" />
<bean class="com.ai.ecs.ecm.mall.wap.platform.interceptor.CSRFInterceptor" />
</mvc:interceptor>
<!--ecop使用表单-->
<script>
//页面加载完成,就在FORM表单里面增加token
$(function(){
var forms = document.forms;
$(forms).each(function(){//给文档的每个表单前添加一个隐藏表单
$(this).prepend("<input type='hidden' value='${csrf}' name='CSRFToken'/>");
})
})
</script>
```js
//document.forms得到这个文档的Form对象,返回类型是数组
document.forms.length //得到文档表单的个数
“`