跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
下面用一个银行网站的转账功能,说明攻击原理。备注:涉及到 URL 等信息都是虚构。
https://bank.example.com/withdraw?account=AccoutName&amount=1000&for=PayeeName
<img src="https://bank.example.com/withdraw?account=Alice&amount=1000&for=Badman" />
<img>
中 src 属性的链接来加载图片,但实际上执行了转账操作;服务器端对请求做一次身份验证,拒绝掉无法通过验证的请求,即可方式 CSRF 攻击。
给手机发送数字验证码、图形化验证码让客户识别、让用户再次输入账号密码等进行再次身份验证。
1、服务器生成一个 CSRF token;
2、客户端(浏览器) 提交表单中含有 CSRF token 信息;
3、服务端接收 CSRF token 并验证其有效性。
攻击者有可能在上面客户端中拿到 CSRF token,但是攻击者只能使用 JavaScript 来发起请求,如果服务器不支持 CORS(跨域资源),那么攻击者的 跨域 JavaScript 请求
是会被服务器拒绝,达到防止 CSRF 攻击目的。
csurf
,具体使用方法,看这里!原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。