1、簡(jiǎn)介

  CSRF的全名為Cross-site request forgery,它的中文名為 跨站請(qǐng)求偽造(偽造跨站請(qǐng)求【這樣讀順口一點(diǎn)】)

  CSRF是一種夾持用戶在已經(jīng)登陸的web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方式。相比于XSS,CSRF是利用了系統(tǒng)對(duì)頁(yè)面瀏覽器的信任,XSS則利用了系統(tǒng)對(duì)用戶的信任。

 

回到頂部

2、CSRF攻擊原理

下面為CSRF攻擊原理圖:

電腦培訓(xùn),計(jì)算機(jī)培訓(xùn),平面設(shè)計(jì)培訓(xùn),網(wǎng)頁(yè)設(shè)計(jì)培訓(xùn),美工培訓(xùn),Web培訓(xùn),Web前端開(kāi)發(fā)培訓(xùn)

由上圖分析我們可以知道構(gòu)成CSRF攻擊是有條件的:

  1、客戶端必須一個(gè)網(wǎng)站并生成cookie憑證存儲(chǔ)在瀏覽器中

  2、該cookie沒(méi)有清除,客戶端又tab一個(gè)頁(yè)面進(jìn)行訪問(wèn)別的網(wǎng)站

 

回到頂部

3、CSRF例子與分析

  我們就以游戲虛擬幣轉(zhuǎn)賬為例子進(jìn)行分析

回到頂部

  3.1、簡(jiǎn)單級(jí)別CSRF攻擊

  假設(shè)某游戲網(wǎng)站的虛擬幣轉(zhuǎn)賬是采用GET方式進(jìn)行操作的,樣式如:

1 http://www.game.com/Transfer.php?toUserId=11&vMoney=1000

網(wǎng)友評(píng)論