文章插图
CSRF跨站请求伪造(Cross-Site Request Forgery)
CSRF经常配合XSS一起进行攻击!(同XSS类似,都属于跨站攻击,不攻击服务器端而攻击正常访问网站的用户!)
XSS利用站点内的信任用户,CSRF伪造成受信任用户!
文章插图
CSRF原理攻击者伪造目标用户的身份,以目标用户的名义执行非法操作!
如:发送邮件、发送消息、盗取目标用户的账户进行购买,转账等威胁目标用户的财产安全!
注意:具体实例,请参考之前的文章!
CSRF的利用之前文章的利用手段截图:
文章插图
文章插图
CSRF的防御
- 使用POST请求代替GET请求
- HTTP Referer
- 验证码
【Web漏洞及防御 CSRF和SSRF】注意:验证码,用户体验不好!
- Token(请求令牌!)
在HTTP请求中以参数的形式加入一个随机产生的请求令牌(Token),并在服务器端进行验证 。如果请求中没有Token或者Token内容不正确,则拒绝该请求!
Cookie Token:Token值放进Cookie中(所有表单都包含同一个伪随机值)
把Token放入HTTP头部自定义的属性中
一次性Token:每一个表单包含一个不同的伪随机值!
推荐阅读
- 白茶的种类及特点,白茶的功能和种类介绍
- 关于路由器的2.4G以及5G,你不知道的那些事
- 绿茶功效和作用及禁忌,西湖龙井的功效与禁忌
- 安溪铁观音的制作,安溪铁观音的制作工艺及鉴赏
- 藏茶历史文化及发展,黔南毛尖茶文化读本出版
- 绿春玛玉茶的神奇功效,绿春玛玉茶产地分布及生长环境
- 爱玛作品及作者简介
- 六堡茶品赏先容,六堡茶的种类及口感先容
- 中药绞股蓝的功效及作用
- Windows TCP/IP远程执行代码漏洞分析