跨站请求伪造

CSRF是什么?

跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求 ,而不是盗取数据,因为攻击者无法查看伪造请求的响应。

借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。如果受害者是管理账户,CSRF 攻击会危及整个Web 应用程序。

CSRF是跨站请求伪造攻击,它不像XSS和SQL注入会盗取用户的信息,它的目的是强制浏览器客户端用户执行攻击者想要用户达成的目的,也就是更改用户状态的请求,如:转移资金和修改密码等操作,它分为get型和post型攻击。

原理

攻击者的网站诱骗用户访问用户原本的网站,并带有自己的身份凭证(cookie),执行攻击者的要求的操作,跨网站攻击,这就是CSRF跨站请求伪造。

防御

验证Referer

添加token

同源策略

相关推荐
ITxiaobing20231 小时前
如何构建IP维度的假量排查流程:以AppsFlyer Protect360判假后的实战为例
网络·数据库
Eloudy1 小时前
基于 RDMA-CM(librdmacm)的聊天程序
网络·人工智能
(Charon)2 小时前
【C/C++】手写内存池(三):大块内存的申请、记录与单独释放
网络
绀目澄清2 小时前
私服网游云加速程序劫持流量排查与修复总结
windows·安全
菩提小狗2 小时前
每日安全情报报告 · 2026-07-16
网络安全·漏洞·cve·安全情报·每日安全
欧神附体1232 小时前
在虚拟机搭建本地仓库和网络仓库
linux·运维·服务器
运维大师3 小时前
【Linux运维极简教程】07-磁盘管理与LVM
linux·运维·服务器
一只小菜鸡..3 小时前
Stanford CS144 学习笔记 (二):传输层与数据通信机制
网络·笔记·学习
乖巧的妹子3 小时前
刷题总结知识
linux·服务器·windows
超防局4 小时前
网络安全渗透测试常用工具详解
网络·安全·web安全