CSRF跨站请求伪造
理论:
1.定义:
csrf跨站请求伪造,是一种对网站的恶意利用,与xss跨站脚本攻击的区别是
xss是利用站内的信用用户进行攻击,但是csrf是通过获取受信任用户的请求,使攻击者伪造自己成为信任用户,进而发起攻击。
XSS:
是由于输入检测不严格
注入js代码
csrf:
网站的恶意利用
伪造用户请求
2.工作原理:
1.用户浏览并登录了信任网站A
2.此时验证通过,就会在用户处产生受信任网站A的cookie
3.接着用户在没有登录网站A的情况下,访问了威胁网站B
4.此时威胁网站B要求访问第三方网站A,发出了一个request请求
5.接着根据4中的请求,浏览器就会带着2中产生的cookie访问A
6.此时A不知道5中的访问请求是用户发出的,还是威胁网站B发出的,浏览器会自动带用户的cookie ,所以网站A就会使用用户的权限处理5的请求,这样网站B就成功模拟用户访问A网站,并进行操作。
3.完成一次csrf攻击,受害者必须完成的两个步骤:
1.登录受信任网站,并在本地生成cookie
2.在不登出A的情况下