31.邮件31（2 / 2）

一旦用户在同一浏览器中访问假网站，假网站中的恶意代码会自动触发对真网站的请求，将用户输入内容类似身份信息，发送给真网站验证而用户完全不知情。

由于用户和真网站通过身份验证存在有效会话，因此真网站会把假网站当做用户，给他一切用户权限。

这样，假网站会拿走所有用户数据。

请求验证额外也称实时令牌则是对应该入侵手段的一种防范措施，真网站可以在用户会话中生成一个额外的请求验证令牌（CSRFToken），相当于特有的语言习惯，没说一句话前面都要加上

最出名的，是海贼王空岛篇，空岛天使每句话之前的“哈索。”

这个额外令牌会被嵌入到每个表单或请求中，在用户的每一次对话请求时，真网站都会验证令牌的有效性。

假网站原则上只能获得用户输入内容，无法获得真网站和用户对话内容，所以就无法获得该令牌，因为它是隐藏在用户的对话中数据包中。

如果请求中没有有效的令牌或令牌验证失败，目标网站可以拒绝该请求，立即终止用户任何行为。

正常来讲，这是一个相当有效的防范手段，也是一个网络应该具备的最基本的防护措施。

这个苏尔斯说他能拦截对话信息找到额外令牌，电脑前的男生挑了一下眉头，偏头对着杨回笑道：佼佼者，我也想找他。

他叫谢瑜，27岁网络安全博士，专攻网络隐私与匿名性

“五分钟，别人说的。”杨回看着屏幕，“最.....”话没说完，屏幕跳出来一封新邮件提醒：“你在哪知道的我邮箱？”

“fine。”谢瑜将早就编辑好的草稿转了过去：我是在SO（StackOverflow）上查找解决方法是看到你的技术分享，感谢你还在用这个邮箱。

关于你获取动态验证token的那篇技术回答中，有两个小问题，我始终不能正确验证，如果你方便，能不能给我详细解释一下？我可以付费。

杨回拍了一下脑门，感叹道：“完了，打了个水漂，没听见响。”

谢瑜挥手道：“OKOK。你站到旁边，我们先来追踪一下他的大致ip，看看是服务器还是私人。”

“邮件怎么追。”

“不一定能追到，所以我没把问题一起发过去，是想跟他多几封通话。首先看一下...你要听详细的吗，额外的钱。”

“deal。50”成交，涨50%。

“谢谢惠顾。”谢瑜调出邮件原始信息，还没看，又来了一封新邮件：可以，你说。

他没立即回复，而是对着信息一边往下翻一边道：“there，所有的邮件都有一个原始代码。

在原始邮件头中，有一个以“Received“（接收）开头的条目，这些条目列出了邮件经过的服务器和相关的元数据。

这里面就包括IP地址标识，通常在一个方括号里面，诶。”他指了一下屏幕上的一串数字冒号：“就这个，现在看一下前一封邮件的原始信息，看看两封是不是一样的。”

说着调出前一封比兑了一下，数据相同，谢瑜大喜，拍了下巴掌，“非常好，再来看下其他内容。

一般该条目也会包含该ip的其它信息，例如服务器名称、域名、标识符等。

如果条目明确指示它是一个服务器，那么这个ip地址基本是服务器。服务器可以跳转指代，通常是公共IP地址，很难直接追踪。

如果没有明确指示，那就有可能是私有ip地址，更精确，不过具体是不是，要查过地址范围才可以确定，那玩意儿我没记过。

等下，非常好，这没有说是服务器。”他看向杨回：“等我比兑一下地址范围，如果是私有最好。

不过在此之前，我得先回他一封邮件。”