From b1bbd3d41895c488ead8768b6e882e2c102e7e12 Mon Sep 17 00:00:00 2001 From: fighter Date: Tue, 31 Jul 2018 17:30:04 +0800 Subject: [PATCH] change XSRF to CSRF --- notes/攻击技术.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/notes/攻击技术.md b/notes/攻击技术.md index 22af60ea..c99071a0 100644 --- a/notes/攻击技术.md +++ b/notes/攻击技术.md @@ -141,7 +141,7 @@ http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName ### 1. 检查 Referer 首部字段 -Referer 首部字段位于 HTTP 报文中,用于标识请求来源的地址。检查这个首部字段并要求请求来源的地址在同一个域名下,可以极大的防止 XSRF 攻击。 +Referer 首部字段位于 HTTP 报文中,用于标识请求来源的地址。检查这个首部字段并要求请求来源的地址在同一个域名下,可以极大的防止 CSRF 攻击。 这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验。但这种办法也有其局限性,因其完全依赖浏览器发送正确的 Referer 字段。虽然 HTTP 协议对此字段的内容有明确的规定,但并无法保证来访的浏览器的具体实现,亦无法保证浏览器没有安全漏洞影响到此字段。并且也存在攻击者攻击某些浏览器,篡改其 Referer 字段的可能。