跨站请求伪造

CSRF是什么?

跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求 ,而不是盗取数据,因为攻击者无法查看伪造请求的响应。

借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。如果受害者是管理账户,CSRF 攻击会危及整个Web 应用程序。

CSRF是跨站请求伪造攻击,它不像XSS和SQL注入会盗取用户的信息,它的目的是强制浏览器客户端用户执行攻击者想要用户达成的目的,也就是更改用户状态的请求,如:转移资金和修改密码等操作,它分为get型和post型攻击。

原理

攻击者的网站诱骗用户访问用户原本的网站,并带有自己的身份凭证(cookie),执行攻击者的要求的操作,跨网站攻击,这就是CSRF跨站请求伪造。

防御

验证Referer

添加token

同源策略

相关推荐
frank006007119 分钟前
Rocky 9.8设置本地yum源
服务器
土星云SaturnCloud1 小时前
边缘计算在储气库调峰智能管控中的应用:架构设计与技术解析
服务器·人工智能·ai·边缘计算
GoFly开发者1 小时前
Go语言开发框架GoFlyGen新增 网站安全助手 插件,帮助开发者提供应用安全防护,保障平台系统数据安全。
网络·安全
笺落彼岸1 小时前
SpringBoot3 JDK17集成proguard实现混淆打包
安全·https
happyprince2 小时前
07_NVIDIA_ModelOpt-Recipe配方系统
网络·modelopt
甄同学2 小时前
第十七篇:Bash Executor命令执行器,安全运行Shell命令
开发语言·安全·bash
h3guang Official2 小时前
K8s安全实战:从漏洞靶场到红蓝对抗
安全·容器·kubernetes
韦胖漫谈IT2 小时前
Apple M3 Max 与 Apple M5 Max 对比:本地算力的新旧王者之争
网络·人工智能·macos·transformer
NiceCloud喜云3 小时前
Claude Code 应用内浏览器任务怎么写验收清单
服务器·人工智能·ai
浮江雾3 小时前
Flutter第四节------核心概念学习笔记:从基础语法到异步编程
linux·服务器·开发语言·笔记·flutter·入门·基础