我对跨站请求伪造（Cross Site Request Forgery，即csrf）技术有一定研究，但是对网站开发者应当采取的措施研究不深。这些日子在编写一个对用户和管理员（这些人对他们的任务并不明晰:P）有高度安全要求的分布式网站程序时，我被这个话题深刻的纠缠了。

针对这种情况，我必须考虑程序最终可能受到的各个方面的可能的攻击威胁。

给我最多麻烦的就是Session欺骗（或者CSRF，你可以按照自己喜欢的方式称呼），因为这种攻击是完全以用户的身份，因此并没有百分百的可能性来防止它。

如果你对我刚才说所的Session欺骗并不太了解，那么你可以阅读：http://www.playhack.net/view.php?id=30

» 阅读全文

csrf - Cross-site Request Forgery 字面意思是指跨站点请求伪造，通常用来指 WEB 网站的这一类漏洞，即在某个恶意站点的页面上，促使访问者请求你的网站的某个 URL（通常会用 POST 数据方式），从而达到改变服务器端数据的目的。

看到superhei写了不少相关的文章，这几天刚好遇到。学习学习

http://superhei.blogbus.com

» 阅读全文