网站后端.Security.浅谈CSRF跨站请求伪造?

CSRF是什么?

1.CSRF(Cross-site request forgery),跨站请求伪造,One Click Attack/Session Riding,缩写CSRF/XSRF

CSRF能够作什么?

1.你能够这样理解CSRF攻击:攻击者盗用你的身份,以你的名义发送恶意请求,例如以你的名义发送邮件,发消息,盗取你的账号,盗取商品,虚拟货币转帐等,归结;两点就是我的信息泄漏和财产安全

CSRF的实现原理?

说明:完成一次CSRF攻击,须要受害者完成2个步骤,登陆受信任网站A,并在本地生成Cookie,在不登出A的状况下,访问危险网站B,可是你确定会说我不知足上面的一个条件是否是就不会受到CSRF攻击?固然不是的,首先你不能保证的打开一个新的TAB浏览其它网站,也不能保证浏览器关掉Cookie和Session就被清除

服务端CSRF的防御?

1.服务端CSRF的防御方法多样,但总的思想都是一致的,就是在客户端页面增长伪随机数,检查外部请求页面的伪随机数来预防CSRF攻击