前言
最近重新整理了下自己的前端相关知识,在前端安全这个领域由于最近两年做的事内部项目,对此没有太多的实际应用,借此机会重新去了解下,俗话说温故而知新,从故有的知识中总结获取新的知识才是我们进步的基础。
前端安全
跨站点请求伪造(CSRF)
在国内互联网刚发展阶段,网站的CSRF漏洞还是比较多的。假设我们是攻击者,那当被攻击网站满足以下几个条件是,我们就可以顺利的进行CSRF攻击:
- 用户登录被攻击网站,并且保存的cookie信息
- 用户打开另一个tab访问我们的恶意网站
- 被攻击网站未做任何CSRF防护
攻击流程
当你的网站满足上面三个条件了,那当前登录用户的信息对于恶意网站而言就是完全透明的了,下面说说攻击流程:
- 用户打开A网站
- 登录A(XSRF漏洞)
- 生成登录cookie
- 同个浏览器B(伪造攻击网站)
- B网站通过脚本获取A的cookie并发送给攻击者后台
- 攻击者拿到cookie 通过cookie获取用户信息
如何防范
通过分析可以发现XSRF攻击方式是通过钓鱼网站拿到cookie,然后