比如涉及到一些重要的信息,例如客户端向服务器发送http请求表明用户账户余额的增减,那其他人岂不是也可以在像postman这种软件里发送相应请求,然后服务器对这个“假的请求”进行处理,对相关数据进行操作,细思极恐。小白一枚,希望能得到解答
?你确实可以发请求,但是服务端可以不进行服务肯定都会有身份认证的,怎么会随便一个请求就直接执行
有这个疑问非常好。去看看csrf跨站请求伪造了解了解