概念
跨站请求伪造,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
原理
- 用户登陆A网站
- A网站确认身份
- B网站页面向A网站发起请求(带A网站身份)
危害
-利用用户登陆态
-盗取用户资金(转账、消费)
-用户不知情
-冒充用户发帖背锅
-完成业务请求
-损坏网站名誉
CSRF攻击防御
1. 禁止第三方网站带Cookies
2. same-site属性
3. 在本网站前端页面加入验证信息,如验证码,token
4. 验证referer
5. 禁止来自第三方网站的请求