关于哔哩哔哩csrf校验失败，哔哩哔哩md5校验失败这个很多人还不知道，今天琪琪来为大家解答以上的问题，现在让我们一起来看看吧！

哔哩哔哩csrf校验失败 哔哩哔哩md5校验失败

哔哩哔哩csrf校验失败 哔哩哔哩md5校验失败

哔哩哔哩csrf校验失败 哔哩哔哩md5校验失败

1、下面一张图简单阐述了CSRF的原理从上图可以看出，要完成一次CSRF攻击，受害者必须依次完成以下两个步骤：检查Referer字段HTTP头中有一个Referer字段，这个字段用以标明请求来源于哪个地址。

2、在处理敏感数据请求时，通常来说，Referer字段应和请求的地址位于同一域名下。

3、以上文银行作为例，Referer字段地址通常应该是转账按钮所在的网页地址，应该也位于 之下。

4、而如果是CSRF攻击传来的请求，Referer字段会是包含恶意网址的地址，不会位于 之下，这时候就能识别出恶意的访问。

5、这种办法简单易行，工作量低，仅需要在关键访问处增加一步校验。

6、但这种办法也有其局限性，因其完全依赖浏览器发送正确的Referer字段。

7、虽然协议对此字段的内容有明确的规定，但并无法保证来访的浏览器的具体实现，亦无法保证浏览器没有安全漏洞影响到此字段。

8、并且也存在攻击者攻击某些浏览器，篡改其Referer字段的可能。

9、添加校验token由于CSRF的本质在于攻击者欺用户去访问自己设置的地址，所以如果要求在访问敏感数据请求时，要求用户浏览器提供不保存在cookie中，并且攻击者无法伪造的数据作为校验，那么攻击者就无法再执行CSRF攻击。

10、这种数据通常是表单中的一个数据项。

11、将其生成并附加在表单中，其内容是一个伪乱数。

12、当客户端通过表单提交请求时，这个伪乱数也一并提交上去以供校验。

13、正常的访问时，客户端浏览器能够正确得到并传回这个伪乱数，而通过CSRF传来的欺性攻击中，攻击者无从事先得知这个伪乱数的值，端就会因为校验token的值为空或者错误，拒绝这个可疑请求。

14、参考资料：:跨站请求伪造CSRF是什么。

本文到这结束，希望上面文章对大家有所帮助。