Ko chỉ trong CI, các frameworks khác cũng có. Nó là kỹ thuật tấn công bằng cách giả mạo request (thường là POST). Đối với các tay lập trình viên non cơm, trong lớp xử lý sự kiện sau request thường có xu hướng lười kiểm tra nó đến từ đâu mà cứ vô tư get data rồi ôm hận
Để giải quyết việc này các frameworks đưa vào form 1 field hidden gọi là csrf_token, đồng thời gửi nó vào cookies. Sau khi submit form, nếu 2 giá trị này trùng lặp thì nghĩa là ko thành vấn đề
2. XSS
Không có nhận xét nào:
Đăng nhận xét