CSRF笔记
CSRF笔记
Cross-Site-Requst-Forgery 跨站伪造请求
与xss区别:xss是通过获取cookie后对用户攻击,而csrf并没有获取cookie而是通过各种方法去盗用/假冒用户的身份,然后进行攻击,而这样的攻击在服务器看来都是合法的,因为都看作是用户发来的。
实现原理:
假如一个用户信任并登录一个网站,然后会在这个网站上面留下自己的cookie等信息,然后用户在未登出这个网站的时候去访问了其他攻击者做的网站,此时攻击者的网站就会接受用户的请求,然后返回一些攻击性的代码去访问原本用户信任的网站(假冒用户身份)进行攻击。
浙公网安备 33010602011771号