s1awwhy

摘要： 本文讲了一下CSRF攻击的基本原理以及基本过程。通俗的来讲CSRF攻击就是伪造被信任用户的请求，达到欺骗被攻击网站的目的。对于CSRF攻击的主要防御措施有验证HTTP头的Referer字段、验证HTTP头的Token字段以及在HTTP头中自定义属性并验证。从防御手段我们可以看出应对CSRF攻击，主要是解决判断请求的来源是否被信任问题，如果可以验证请求的发起者是可信的，那么该请求是可以被接受的。通过DVWA靶场的两个小实验，对CSRF攻击进行更直观的理解。 阅读全文