先看图 后说事:
1:CSRF是什么?
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery)攻击者盗用了你的身份,以你的名义发送恶意请求。
2:上面故事是如何发生攻击的
- 首先小K是管理员已经登陆了网站,大家都知道登陆网站就会产生一个token。
- 小B通过某种途径获得了A网站的删除人员的请求URL和参数
- 小K收到一个邮箱,没有经受住诱惑点击后会已小k登陆的COOKIE发起请求进行删除.
- 小B通过链接伪造小k的身份进行了攻击
3:故事结尾
小K这一点诱惑链接发送删除请求,小K看的正在高兴公司看老板一个电话打来劈头就喷:为什要把用户删除?正好被小B路过看到心想 就知道你受不住诱惑 跟我斗中招了吧,高高兴兴 潇洒离去.数据删除了怎么办?只能恢复了,这个时候又轮到了程序员的工作了,小B心想完了大意了 数据没有备份…(记得不要看到美女就点进入,后果吗你懂得)