小迪web自用笔记56
CSRF
意思就是说,受害者不小心点了一下恶意网站,那个恶意网站上有加载数据包的恶意代码(数据包把你的钱指向恶意网站),然后我就以用户的身份向另一个网站发了付款数据包,而你这个时候刚好登录了支付宝,浏览器有里面的cookie,就会被恶意网站坑走钱。
但是这玩意仅限后端没有校验。
条件就是需要伪造数据包,需要诱导用户点他,而且无防护,我感觉这玩意儿还得是登录状态(不过登录状态的前提是它可以使用更多功能,感觉更多的是与受害者可以操作的权限有关)。
其实仔细想想这玩意儿与登录也无关吧,我也可以诱导他让他点击这个恶意网址,以游客状态进行操作(如果有游客状态可以操作的话)