加密最主要作用就是防止中間被截取獲悉到明文內(nèi)容���。
非對稱加密還有一點的作用就是���,互相之間傳遞各自秘鑰加密的認(rèn)證內(nèi)容用來認(rèn)證,因為只有自己持的秘鑰能解密����,就能確認(rèn)對方身份。
刷接口�,你有正確的明文,有秘鑰����,那你就能發(fā)出正確的加密后的信息��。怎么防止刷����,這是另一個問題了���。
還有如果被他人截獲了你的加密內(nèi)容�����,雖然他不能破解�����,依舊可以重復(fù)發(fā)送你的加密內(nèi)容��。這種問題也不是加密這塊要解決的���。
csrf攻擊和加密沒有任何關(guān)系吧。我記得中文名稱是跨站請求偽造�,顧名思義,從危險網(wǎng)站發(fā)出偽造的向有漏洞的網(wǎng)站的請求�����。
這個是利用瀏覽器一些自動發(fā)出的get請求可以跨域(比如標(biāo)簽的src屬性,其實就是瀏覽器自動向src指明的url發(fā)出一個get類型的http(s)請求)���;同時http(s)協(xié)議中又會默認(rèn)帶著請求的domin中的cookie的特性實現(xiàn)的攻擊。
漏洞原因是����,用戶的認(rèn)證信息存在了cookie里,并且沒有判斷請求源頭是否可靠����。
所以,舉個例子����,如果A網(wǎng)站是危險網(wǎng)站,B網(wǎng)站是漏洞目標(biāo)網(wǎng)站��,用戶a在B網(wǎng)站有賬戶����。
用戶a訪問了A網(wǎng)站,A網(wǎng)站有個圖片的src是向B網(wǎng)站發(fā)請求�����,這時候,這個圖片鏈接發(fā)過去的請求就會帶著a在B網(wǎng)站的cookie了�。如果cookie里有認(rèn)證用的token,那么��,就可以在A網(wǎng)站偽造a的請求并且完成認(rèn)證了���。
