-
CSRF介绍
CSRF(跨站请求伪造),是一种对网站的恶意利用,利用受害者尚未失效的身份认证信息(cookie、会话等)诱骗点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而完成非法操作 -
CSRF原理
攻击者利用目标用户的身份,以目标用户的名义执行某些非法操作。
CSRF漏洞的两个重点:
1> 目标用户已经登录了网站,能够执行网站的功能
2> 目标用户访问了攻击者构造的URL -
与XSS的区别
XSS利用站点内的信任用户,而CSRF则伪装成受信任用户请求受信任的网站。最大的区别就是CSRF并没有盗取cookie而是直接利用。 -
修复建议
(1)验证请求的referer值,如果referer是以自己的网站开头的域名,则说明请求来自于自己网站,是合法的。如果是其他的,就有可能是CSRF攻击,则拒绝该请求
(2)在请求的参数中,加入token,服务器端验证token。
跨站请求伪造(CSRF)
最新推荐文章于 2023-01-14 14:37:51 发布