今天和大家聊聊CSRF(Cross—Site Request Forgery)跨站点请求伪造
背景:节后上班的第一天,无心工作,还被告知今天的文章还没有发,心塞。又被告知负责的某个产品下某个页面存在一个跨站请求伪造漏洞,该漏洞会导致攻击者可以恶意通过浏览器盗用用户身份信息发送一些恶意请求,可能会存在盗号风险,心更塞。惨痛的教训总结最深刻的经验,这波经验无私奉献给你们。
一、CSRF原理
什么是CSRF?危害是什么?简单理解,CSRF是一种危险的恶意请求利用,攻击者利用用户本地的cookie,冒充用户发送一些恶意的请求,而这些请求对服务器来说是完全合法的。可能造成的后果是攻击者冒用用户名义发送消息、盗取账号、消耗账号内资源等。
用一个网上流传甚广的例子来说明
这就是CSRF攻击攻击原理及过程,为了大家更好理解,以上的过程简化为
浏览器在接收到这些攻击