csrf(跨站请求伪造)
例: 你的网站添加用户是get方式进行添加,我发了一个链接让你点击下, 有可能就添加一个用户,为什么???这就是csrf。
当然这个连接不是里面的内容肯定是***者精心构造好的页面 例
<img src="url/add.php?username=0x007.blog.51cto.com&password=0x007 ">(请勿较真 url随便写的 写这篇文章的时候 全部根据自己经验来写 没有任何抄袭)
当管理员点击这样的页面就会给我们添加个用户进去。
防御办法:
1、正确使用GET,POST和Cookie;
2、在non-GET请求中使用Security token