跨站请求伪造

CSRF是什么?

跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求 ,而不是盗取数据,因为攻击者无法查看伪造请求的响应。

借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。如果受害者是管理账户,CSRF 攻击会危及整个Web 应用程序。

CSRF是跨站请求伪造攻击,它不像XSS和SQL注入会盗取用户的信息,它的目的是强制浏览器客户端用户执行攻击者想要用户达成的目的,也就是更改用户状态的请求,如:转移资金和修改密码等操作,它分为get型和post型攻击。

原理

攻击者的网站诱骗用户访问用户原本的网站,并带有自己的身份凭证(cookie),执行攻击者的要求的操作,跨网站攻击,这就是CSRF跨站请求伪造。

防御

验证Referer

添加token

同源策略

相关推荐
奶油话梅糖14 分钟前
锐捷常用命令速查表
java·网络·windows
Dlrb121117 分钟前
信息查询Web服务器-->电子商城信息查询项目
linux·服务器·数据库·html·嵌入式·epoll·数据查询
rcms1527026921818 分钟前
AMAT 0190-32401 通讯模块
网络
范纹杉想快点毕业39 分钟前
嵌入式串口通信协议设计与解析完全教程
网络
流浪法师121 小时前
数据分类分级治理实践:从发现到管控的全链路记录
安全
chh5631 小时前
C++--string
java·开发语言·网络·c++·学习
SLD_Allen1 小时前
阿里开源的安全沙箱解决方案 OpenSandbox
安全·开源·沙箱
ZhengO_Oz1 小时前
虚拟机CentOS 网络配置【实操】
运维·服务器·网络
utf8mb4安全女神1 小时前
如果复制windows 内容到 Linux,带入不可见特殊符,怎么解决
linux·运维·服务器
fei_sun1 小时前
网卡、网关、网桥、交换机、路由器
linux·服务器·网络