0x03 POST型 controller/CSRF.java @GetMapping("/")publicStringindex(){return"form"; }@PostMapping("/post")@ResponseBodypublicStringpost(){return"CSRF passed."; } 前端提交数据页面(spring框架中调用_csrf.parameterName方法可以有效防止csrf) <!-- th:action with Spring 3.2+ and Thymeleaf 2.1+ can...
若要通过代码审计去挖掘 CSRF 漏洞,一般需要首先了解该开源程序的框架。CSRF 漏洞一般会在框架中存在防护方案,所以在审计CSRF漏洞时,首先要熟悉框架对CSRF的防护方案,若没有防护方案,则以该框架编写的所有Web程序都可能存在CSRF漏洞。若有防护方案,则可以首先去查看增删改请求中是否有token、formtoken、csrf-token等关键...