一、CSRF是什么？

? ? ? ? 通過瀏覽器冒充用戶身份向服務器發(fā)送偽造請求并成功執(zhí)行。

二、攻擊原理

1、用戶正常登入受信任的網(wǎng)站A，輸入賬號密碼登入

2、登入成功網(wǎng)站返回Cookie

3、用戶未退出的網(wǎng)站，訪問網(wǎng)站B

4、網(wǎng)站B接收到請求，返回惡意代碼。并發(fā)出一個請求訪問站點A ，此時會攜帶用戶的cookie進行訪問。

三、 CSRF的危害

CSRF工具特：

攻擊時機： Cookie沒有過期，

攻擊前提： 了解網(wǎng)站接口

攻擊難度：大于XSS

危害：修改密碼、轉賬、刪除數(shù)據(jù)

四、如何防護

1、referer校驗

? ? ? ? 當瀏覽器向Web? 發(fā)送請求時，header中有個referer字段表明是從哪里發(fā)出的，正常應該從本網(wǎng)站域名發(fā)出，登入的時候例外。在網(wǎng)關中防止過濾器進行校驗，或者在項目中定義過濾器或攔截器，也可在業(yè)務代碼中實現(xiàn)。

2、業(yè)務二次校驗

? ? ? ? 添加驗證碼（短信驗證碼、圖形驗證碼均可）

? ? ? ? 添加系統(tǒng)確認密碼（如交易密碼）

總結

以上是生活随笔為你收集整理的跨站点请求伪造（CSRF）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。