本篇文章給大家分享的是有關(guān)如何從代碼角度分析及防護CSRF，小編覺得挺實用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、小程序定制開發(fā)、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了宜黃免費建站歡迎大家使用！

在平時的測試中，csrf也是比較容易發(fā)現(xiàn)的，主要就是看它對一個操作，有沒有檢測其時效性(這樣表述可能不太準確)，一般的防護方法就是添加token來進行校驗，并及時對其進行失效處理。

在進行添加的時候進行抓包

利用burp自帶的工具轉(zhuǎn)成CSRF利用代碼

此時，我們先看一下當前的內(nèi)容

然后，就需要構(gòu)造一個鏈接，然后想辦法讓受害者去點擊它，然后執(zhí)行我們預(yù)定的操作，這里我直接本地打開

之后就發(fā)現(xiàn)在index頁面多出了一行內(nèi)容，正是我們預(yù)定的操作后的內(nèi)容

這里我們簡單補充一下前面操作中所用到的代碼

add.php

action.php

簡單修復(fù)

修復(fù)的話，我在開頭的時候也已經(jīng)說過了，一般都是添加一個token，然后對每次的操作都進行檢測，查看是否是用戶自己所操作的。

先給大家理一下，修復(fù)的流程，我們需要在add.php中添加一個生成token值的參數(shù)，并設(shè)置為session值，并把token值發(fā)送到action.php，然后判斷發(fā)送過來的token跟session中的token值是否相同，如果相同則允許執(zhí)行之后的操作，否則就提示錯誤，然后一定一定一定要把token進行失效處理。

add.php

action.php

然后看一下這個時候的效果

此時傳輸時候的數(shù)據(jù)包為

此時，就達到了簡單修復(fù)的目的。

以上就是如何從代碼角度分析及防護CSRF，小編相信有部分知識點可能是我們?nèi)粘９ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。