CSRF概念
CSRF(Cross-site request forgery)
跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
跨站请求伪造, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
CSRF漏洞的本质是浏览器在不应该发送cookie的地方发送cookie。
cookie相关知识:
- cookie的属性:key、value、expires(过期时间)、domain(站点名称)、path(cookie储存路径)、secure(遵循https协议)、httponly(设置cookie访问权限,只能后台设置)、samesite(设置严格选项就禁止第三方访问使用cookie)
- 只要有请