搞搞的传奇
<input type="hidden" name="DynamicModel[c1]" value=""> <input type="file" id="dynamicmodel-c1" class="file-loading" name="DynamicModel[c1]" value="uploads/26/1468854093578cef4dda5e0.jpg" accept="*/*" data-krajee-fileinput="fileinput_fcf562cf">
- 搞搞的传奇 提出了问题求快速安装yii2及其扩展的真经!
没区别啊,效果一样的。都是post方式注销的,防止低端的csrf攻击。
CSRF 是跨站请求伪造的缩写。这个攻击思想源自许多应用程序假设来自用户的浏览器请求是由用户自己产生的,而事实并非如此。
比如说:an.example.com 站点有一个
/logout URL
,当以 GET 请求访问时,登出用户。如果它是由用户自己操作的,那么一切都没有问题。但是,有一天坏人在一个用户经常访问的论坛发了一个<img src="/docs/guide/2.0/http://an.example.com/logout">
内容的帖子。浏览器无法辨别请求一个图片还是一个页面,所以,当用户打开含有上述标签的页面时,他将会从an.example.com
登出。上面就是最原始的思想。有人可能会说,登出用户也不是什么严重问题,然而,我们发送一些 POST 数据其实也不是很麻烦的事情。
为了避免 CSRF 攻击,你总是需要:
遵循 HTTP 准则,比如 GET 不应该改变应用的状态。
保证 Yii CSRF 保护开启。sorry,忘记了
没区别啊,效果一样的。都是post方式注销的,防止低端的csrf攻击。
CSRF 是跨站请求伪造的缩写。这个攻击思想源自许多应用程序假设来自用户的浏览器请求是由用户自己产生的,而事实并非如此。
比如说:an.example.com 站点有一个
/logout URL
,当以 GET 请求访问时,登出用户。如果它是由用户自己操作的,那么一切都没有问题。但是,有一天坏人在一个用户经常访问的论坛发了一个<img src="/docs/guide/2.0/http://an.example.com/logout">
内容的帖子。浏览器无法辨别请求一个图片还是一个页面,所以,当用户打开含有上述标签的页面时,他将会从an.example.com
登出。上面就是最原始的思想。有人可能会说,登出用户也不是什么严重问题,然而,我们发送一些 POST 数据其实也不是很麻烦的事情。
为了避免 CSRF 攻击,你总是需要:
遵循 HTTP 准则,比如 GET 不应该改变应用的状态。
保证 Yii CSRF 保护开启。理解了谢谢,“遵循 HTTP 准则,比如 GET 不应该改变应用的状态。”
- 搞搞的传奇 赞了回答
没区别啊,效果一样的。都是post方式注销的,防止低端的csrf攻击。
CSRF 是跨站请求伪造的缩写。这个攻击思想源自许多应用程序假设来自用户的浏览器请求是由用户自己产生的,而事实并非如此。
比如说:an.example.com 站点有一个
/logout URL
,当以 GET 请求访问时,登出用户。如果它是由用户自己操作的,那么一切都没有问题。但是,有一天坏人在一个用户经常访问的论坛发了一个<img src="/docs/guide/2.0/http://an.example.com/logout">
内容的帖子。浏览器无法辨别请求一个图片还是一个页面,所以,当用户打开含有上述标签的页面时,他将会从an.example.com
登出。上面就是最原始的思想。有人可能会说,登出用户也不是什么严重问题,然而,我们发送一些 POST 数据其实也不是很麻烦的事情。
为了避免 CSRF 攻击,你总是需要:
遵循 HTTP 准则,比如 GET 不应该改变应用的状态。
保证 Yii CSRF 保护开启。