網站後端.Security.淺談CSRF跨站請求僞造?

CSRF是什麼?

1.CSRF(Cross-site request forgery),跨站請求僞造,One Click Attack/Session Riding,縮寫CSRF/XSRF

CSRF能夠作什麼?

1.你能夠這樣理解CSRF攻擊:攻擊者盜用你的身份,以你的名義發送惡意請求,例如以你的名義發送郵件,發消息,盜取你的賬號,盜取商品,虛擬貨幣轉帳等,歸結;兩點就是我的信息泄漏和財產安全

CSRF的實現原理?

說明:完成一次CSRF攻擊,須要受害者完成2個步驟,登陸受信任網站A,並在本地生成Cookie,在不登出A的狀況下,訪問危險網站B,可是你確定會說我不知足上面的一個條件是否是就不會受到CSRF攻擊?固然不是的,首先你不能保證的打開一個新的TAB瀏覽其它網站,也不能保證瀏覽器關掉Cookie和Session就被清除

服務端CSRF的防禦?

1.服務端CSRF的防禦方法多樣,但總的思想都是一致的,就是在客戶端頁面增長僞隨機數,檢查外部請求頁面的僞隨機數來預防CSRF攻擊