Csrf也被称为Session Riding,是不是不使用session的无状态服务就没有csrf问题了呢?客户端可以使用一个安全的token(比如JWT)。
是否存在CSRF问题取决于客户端怎样存储和发送token。
计算机基础知识
Csrf也被称为Session Riding,是不是不使用session的无状态服务就没有csrf问题了呢?客户端可以使用一个安全的token(比如JWT)。
是否存在CSRF问题取决于客户端怎样存储和发送token。
要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
Https加密使用了对称加密、非对称加密、数字证书和数字签名等加密技术。
tcp是基于连接的可靠传输方式,主要依赖于三次握手、传输确认和四次挥手。
tcp和udp有个我觉得挺形象的类比。在不考虑通信速度的情况下,tcp就如打电话,udp就如写信。