什么是CSRF?
Cross-Site Request Forgery 跨站请求伪造
示意图如下:
黑色代表第三方网站,绿色代表浏览器,蓝色代表用户和服务器
CSRF的危害
- 修改账户信息
- 利用管理员账号,上传木马文件
- 传播蠕虫病毒
- 和其他手段配合实现攻击,比如XSS,SQL
CSRF与XSS的区别
1、XSS是将脚本代码注入到有漏洞网站中去,攻击是由此网站发起的,而CSRF是多了一个第三方网站,但并没有权限插入任何代码。
2、对于XSS是窃取了用户cookie,但对于CSRF,是拿不到cookie的,只能对cookie加以利用。
3、XSS攻击是把脚本代码注入到被攻击的网站里面,而CSRF攻击是直接利用一个第三方网站发起对被攻击网站的请求,也就是说CSRF通常都是跨域的,并不是直接在浏览器中访问目标网站,所以CSRF实现的难度要比XSS难度大。优点在于,这个第三方网站可以是自己的网站,所以更加容易被利用。