00:01
好嘞,好。呃,然后呢,下边不着急做下一个实验,我们解释一下这个CSRF是啥玩意儿哈,跨站请求伪造诶。我们如果不带这个值的话呢,会有下边这个403的这个问题啊。也就是说,Security会要求我们必须得带这个值。呃,那么什么叫跨站请求伪造呢?就举个例子哈,这个我们了解了解,嗯。说有一个人呢,假设他是小红啊,他这个想登录建设银行呢,去转账。结果呢,他这个电脑呢,可能被入侵了,或者是被中了木马了,或者怎么样,他不小心访问了一个钓鱼网站。就是这个,表面上你看着很像哈,但其实不是哈。这是建煤银行,不是建设银行。他是1CBC,人家是ICBC。
01:03
啊,他如果做这个事儿的话,他网站上界面然后都一样。你表面上你完全都看不出来啊,表面上完全看不出来,然后你域名你要不仔细看的话,你还以为就就是他的,然后他这边就就转账转账,然后是这个,呃,发送是小红发送的,接收是小兰,他小红想转200块钱给这个小兰。结果他把这个请求发到这儿了。他到这儿,那你这里边儿呢,带有你一些个个人的这个信息啊什么的,比如说你些个账号密码之类的啊,但是这个建煤银行就是这个钓鱼网站这个坏人。他其实呢。呃,他得拿到这些信息,把这些信息呢,篡改了以后。篡改了以后啊,篡改成什么呢?还是小红发送,但是坏人接收,见这个钓鱼网站,这个坏人他接收,然后呢,转账不是转200了,这是转200万。
02:00
哎。转200万,然后呢。但是你还是从他的建设银行的账号里边去转,所以这个请求篡改以后还是要发给人家原版的真正的建设银行。那你建设银行呢?你得开发的时候,你得想,我们不能被这个坏人给骗了。怎么能够不被他给骗了呢,就说我要求你每次呢,都把这个CSR这个值给带上。你这个纸,你要没带这个纸,我就不接受你这个请求。把。哎,那你带这个值,如果是你自己生成的,是你这个伪造的钓鱼网站它自己生成的,那么你和我建设银行官方生成的那个值肯定不一样。我官方会生成这个值。然后呢,我系统内部保存一份,我给这个表单里边保存一份,然后呢,你这个请求发过来,我把我系统内部的这个和我表单里边的这个进行一下比对。如果不一致的话,就不接收你这个请求啊,我让你这个坏人呢,不能够这个做坏事啊,让你这边不能呃篡改我们用户的请求,然后呢,说是去这个恶意的做这种这这样的这个转账。
03:14
啊,这就是说我们防止跨站请求伪造啊,这就叫跨站请求伪造。跨站了嘛,他不是你原来的那个网站了。哎,然后呢,这个伪造的一个请求篡改了你的信息,想要想要去谋夺你的利益啊,但是我们用类似这样一个token的方式。呃,进行这个验证。啊,不接收他这种伪造的这种请求。啊,这个就去去去掉吧,这个好像也不是很准确哈。嗯。我把这个。嗯。放到这哈。实验的最后效果。哎。
04:00
这个跨站请求伪造这个咱们了解一下啊,了解大概知道他这个是啥意思,这个也不需要,呃,就跟别人聊起来,知道这是咋回事就行了。
我来说两句