新浪微博什么的都是利用验证referer来防止csrf的。不过看到过很多绕过的案例。比如限制referer为:
sina.com.cn
有sina.com.cn.xxoo.com
xxoo.com/sina.com.cn
等方式可能绕过。求一个可以正确的匹配限制referer的正则。谢谢啦。
你举的例子怎么可能会被绕过啊?最简单的判断下域名,你说的两个url都不可能绕过的,因为第一个域名应该是xxoo.com,第二个还是 xxoo.com ,除非你用的最弱智的contains来判断。其实绕过不是因为正则,而是referer很容易修改的,比如httpclient 发生一个请求,user-agent,refere都可以任意自己填写。