CSRF漏洞

一、介绍

CSRF(Cross-site request forgery)跨站请求伪造,是一种对网站的恶意利用。与XSS不同,XSS利用站点内的信任用户,而CSRF则通过伪装用户的请求来利用网站。

二、原理

利用网站对用户浏览器的信任,挟持用户当前已登录的Web应用程序,去执行非用户本意操作。

总的来说:一个CSRF漏洞攻击的实现,需要满足三个条件
1、漏洞风险存在;
2、伪装数据请求的恶意链接或者页面(如修改密码,添加管理员);
3、诱使用户主动访问或登录恶意链接,触发非法操作;

三、防御

1、检测来源,referer
2、在请求地址中添加token并验证
3、在执行关键操作时,身份校验,如再次输入密码

四、同源策略

含义:A网页设置的cookie,B网页不能打开,除非这两个网页“同源”,所谓“同源”指的时“三个相同”。
1、协议相同
2、域名相同
3、端口相同

目的:
同源策略是浏览器最核心也是最基本的安全功能,现在所有支持JavaScript的浏览器都会使用这个策略。如果缺少同源策略,浏览器很容易受到CSRF和XSS等攻击。同源策略的目的为了保证用户信息的安全,防止恶意网站窃取数据。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值