释梦燃的博客

Understanding CSRFThe Express team'scsrf and csdf modules frequently have issues popping up concerned about our usage of cryptographic functions. These concerns are unwarranted due to a misunderst

XSS攻击：跨站脚本攻击(Cross Site Scripting)，它是Web程序中最常见的漏洞。XSS攻击是指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的。比如获取用户的Cookie，导航到恶意网站,携带木马等。

CSRF（Cross-Site Request Forgery，跨站点伪造请求）是一种网络攻击方式，该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在未授权的情况下执行在权限保护之下的操作，具有很大的危害性。

CSRFTester是一款CSRF漏洞的测试工具.工具的测试原理：使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息，通过在CSRFTester中修改相应的表单等信息，重新提交，相当于一次伪造客户端请求，如果修测试的请求成功被网站服务器接受，则说明存在CSRF漏洞，当然此款工具也可以被用来进行CSRF攻击。