token盗用、token被别人获取怎么办

XSS是获取信息，不需要提前知道其他用户页面的代码和数据包CSRF是代替用户完成指定的动作，需要知道其他用户页面的代码和数据包要完成一次CSRF攻击，受害者必须依次完成两个步骤登录受信任网站A，并在本地生成Cookie在不登出A的情况下，访问危险网站BCSRF的防御 服务端的CSRF方式方法很多样，但总。

一CSRF是什么CSRFCrosssite request forgery，中文名称跨站请求伪造，也被称为one click attacksession riding，缩写为CSRFXSRF二CSRF可以做什么这可以这么理解CSRF攻击攻击者盗用了你的身份，以你的名义发送恶意请求CSRF能够做的事情包括以你名义发送邮件，发消息，盗取你的。

\x0d\x0a方法1它拿到存储的密文解不开方法2它不知道你的签名算法和盐，两者可以结合食用\x0d\x0a但是如果token被人拷走，他自然也能植入到自己的手机里面，那到时候他的手机也可以以你的身份来用着，这你就瞎了\x0d\x0a于是可以提供一个让用户可以主动expire一个过去的token类似的机制。

比如查看账户详情修改个人信息等，因为这些操作可能也需要token验证因此，用户如果发现自己的中国银行token已过期，应及时联系银行更换新的token，以确保能够正常进行网上银行或手机银行的交易和操作同时，用户也应注意保护好自己的token，不要将其泄露给他人，以防账户被盗用。

第二使用验证码 关键操作页面加上验证码，后台收到请求后通过判断验证码可以防御CSRF但这种方法对用户不太友好第三在请求地址中添加token并验证 CSRF攻击之所以成功，是因为黑客可以完全伪造用户的请求，该请求中所有的用户验证信息都是存在于cookie中，因此黑客可以在不知道这些验证信息的情况下直接。

1首先第一步就是要进行登录用户的视图代码编写，然后就是进行设置name属性即可2接着就是进行测试用户登录功能，这时候注意的是如果该数据库中没有该用户就提示到注册页面，让用户注册，注册后就可以登录了，如下图所示3然后急速进行注册视图代码编写，设置name属性即可4接着就是进行测试。