简介
CSRF
(
Cross-site request forgery
)
跨站
(
客户端
)
请求
伪造
(
跨站请求欺骗
/
客户端请求欺骗
)
:也被称为“One Click Attack”或者
Session Riding
,通常缩写为
CSRF
或者
XSRF
,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS
),但它与
XSS
非常不同,
XSS
利用站点内的信任用户,而
CSRF
则通过
伪装来自受
信任用户的请求来利用受信任的网站
。
与
XSS
攻击相比,
CSRF
攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS
更具危险性。
csrf
漏洞的成因就是网站的
cookie
在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要是访问这个都网站,会默认你已经登录的状态。而在这个期间,攻击者发送了构造好的csrf
脚本或包含csrf脚本的链接,可能会执行一些用户不想做的功能(比如是添加账号等)
同源策略:同域名 | 同 IP 同协议 同端口XSS : 偷 cookieCSRF: 借 cookie注意点:站点 必须是管理员登录状态站点也必须是和站点 在 同一个浏览器 里面打开
CSRF
可以做什么?
你这可以这么理解
CSRF
攻击:
攻击者盗用了你的身份,以你的名义发送恶意请求。
CSRF
能够做的事情包括: