CSRF漏洞原理 CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击者利用普通用户的身份(cookie)完成攻击行为。 一次CSRF攻击的过程中,受害者需要依次完成两个步骤 : 1.登录受信任网站A,并在本地生成Cookie 。 2.在A的cookie存活期内,访问危险网站B。 CSRF高危触发点 论坛交流 用户中心 反馈留言 交易管理 后台