正文

每次講到 CSRF 就會提到這個網站，Super Logout，請注意！

所謂的　CSRF 就是你送出的請求不是你原本想要的，
全名 Cross-site request forgery

• 情境 1
  • <a href='fb.me/logout>點我</a>你可能下意識地點他，fb 可能就被登出了
• 情境 2
  • 相信大家知道 img 這個 tag 會去載入 src 這參數的內容
  • 假設我們今天寫一個 img <img src='fb.me/logout'>
  • 那我們載入這個網站的這個 tag 就會送出一個請求
• 情境 3
  • 假設我們今天點到一個惡意的網站
  • 他利用 post 寫了一個登出並且讓你載入這個網頁之後就執行
  • 你一樣也會重招
• 情境 4
  • 我們可以利用瀏覽器中查看原始碼的方法，也就是在網址前面加上 view-source:
  • view-source:https://superlogout.com
  • 
  • 可以看到 window.onload 就去執行這些 post 以及 get
• 預防
  • 很多框架都會有 csrf_token
  • 這個 token 每次讓你送表單的時候會產生一個 token
  • 讓攻擊者沒有辦法成功透過 csrf 來害到你