CSRF是什么

最新推荐文章于 2025-07-30 11:37:02 发布

转载最新推荐文章于 2025-07-30 11:37:02 发布 · 384 阅读

文章标签：

#CSRF原理 #跨站请求伪装攻击

安全专栏收录该内容

1 篇文章

订阅专栏

CSRF即跨站请求攻击。

简单的说，是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作（如发邮件，发消息，甚至财产操作（如转账和购买商品））。因为浏览器之前认证过，所以被访问的站点会绝点是这是真正的用户操作而去运行。

这就利用了web中用户身份认证验证的一个漏洞：简单的身份验证仅仅能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的。

其实可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包含：以你的名义发送邮件；发消息；盗取你的账号；甚至于购买商品、虚拟货币转账…造成的问题包含个人隐私泄露以及财产安全。

CSRF原理

在这里插入图片描述
从上图能够看出，要完成一次CSRF攻击，有2个前提：

        1、登录受信任站点A，并在本地生成Cookie。

        2、在不登出A的情况下，訪问危急站点B。

作者：lajos182
来源：优快云
原文：https://blog.youkuaiyun.com/sinat_41898105/article/details/80783551

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

softghost小新

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CSRF

weixin_54475242的博客

03-23

427

CSRF漏洞 XSS：利用用户对站点的信任 CSRF：利用站点对已经身份认证的信任原理：结合社工在身份认证会话过程中实现攻击（诱使已经身份认证的用户点击链接，便会执行请求）: 1.修改账号密码，个人信息（email,收货地址） 2.发送伪造的业务请求（网银，购物，投票） 3.关注他人社交账号，推送博文 4.在用户非自愿，不知情的情况下提交请求业务逻辑漏洞：对关键操作（例如修改密码，修改身份信息等）缺少确认机制（验证码等）自动扫描程序无法发现此类漏洞（是正常的访问请求，在服务器看来就是合法用

什么是 CSRF？如何防止 CSRF 攻击？

公众号：该用户快成仙了

07-27

1918

CSRF，全称 Cross-Site Request Forgery，中文翻译为跨站请求伪造，它是一种网络安全漏洞，攻击者通过伪造用户的请求，利用用户在已登录的情况下的身份验证信息，向服务器发送恶意请求，从而执行未经用户授权的操作。CSRF攻击通常发生在用户已经登录了某个网站的情况下，攻击者在用户不知情的情况下利用用户的身份信息发送恶意请求，导致服务器误以为是用户发送的合法请求。用户登录到一个网站，并且被骗点击了攻击者构建的另一个网站链接，这代表了 CSRF 的“跨站点”部分。

参与评论您还未登录，请先登录后发表或查看评论

什么是CSRF（简单易懂，有逻辑）

wly55690的博客

07-30

934

跨站请求攻击，简单地说，是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作（如发邮件、发消息、甚至财产操作：转账、购买商品等）。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞：简单的身份验证只能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的。CSRF攻击的核心是伪造请求，识别这种的攻击的重点就是判断当前操作是否伪造；

【网络安全】CSRF详解

2201_75857562的博客

03-09

2860

跨站请求伪造，冒用Cookie中的信息，发起请求攻击。CSRF（Cross-site request forgery）跨站请求伪造：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。为了更好的防御CSRF，最佳实践应该是结合上面总结的防御措施方式中的优缺点来综合考虑，结合当前Web应用程序自身的情况做合适的选择，才能更好的预防CSRF的发生。

什么是 CSRF

布袋和尚

02-13

5764

1、CSRF是什么？ CSRF（Cross-site request forgery），也被称为：one click attack / session riding，中文名称：跨站请求伪造，缩写为：CSRF/XSRF。一般来说，攻击者通过伪造用户的浏览器的请求，向访问一个用户自己曾经认证访问过的网站发送出去，使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为，网站能够确认请求来源于用户的浏览器，却不能验证请求是否

CSRF是什么？

一只苟延残喘的卑微蝼蚁

08-09

938

先从一个故事说起（故事纯属虚构，恶意模仿后果自负）：小谷最近遭遇电信诈骗被骗的倾家荡产，于是他想到了报复社会。在知乎上狂点800个没有帮助1000个举报后，他决定做点正事干票捞钱的生意。「很多视频网站都有赠送礼品的功能，假如所有人都赠送我个礼物，我再转卖掉，不就发财啦」小谷寻思着。说干就敢，经过一番折腾测试，小谷发现视频网站赠送礼物的接口是: https://xxxx.com/gift/send?target=someone&giftId=ab231 ，原来只要用户在登录状态下请求这

csrf是什么？

最新发布

08-23

### CSRF的基本概念 CSRF（Cross-Site Request Forgery，跨站请求伪造）是一种利用用户在已认证网站上的身份，伪造请求以执行未经授权操作的攻击方式。攻击者通过诱导用户点击恶意链接、访问恶意网页，或者加载嵌入...

CSRF 是什么？SSRF 是什么？二者有什么区别？

06-09

CSRF（Cross-Site Request Forgery）和 SSRF（Server-Side Request Forgery）都是安全漏洞。 CSRF是指攻击者利用用户已登录的身份，在用户不知情的情况下伪造用户请求，实现恶意操作。攻击者通常会通过诱导用户点击...

漏洞原理CSRF漏洞_csrf漏洞是什么-优快云博客.pdf

02-24

CSRF（Cross-Site Request Forgery，跨站请求伪造）是一种网络安全漏洞，它允许攻击者在用户已经登录的状态下代表用户执行未授权的操作。CSRF攻击通常涉及两个角色：受害者和攻击者。受害者是已经登录到目标网站的...

Web安全-检测-CSRF

AG9GgG的博客

10-14

1938

背景知识跨站域请求伪造（CSRF，Cross Site Request Forgery）是一种网络攻击方式，它在2007年曾被列为互联网20大安全隐患之一。网站是通过cookie来识别用户的，当用户成功进行身份验证之后，浏览器就会得到一个标识其身份的cookie，只要不关闭浏览器或者退出登录，以后访问这个网站就会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的url，可能就会执...

什么是CSRF？可能多数人都不清楚，没事，一起来了解！！！

weixin_43342788的博客

12-15

602

CSRF即跨站请求攻击。简单的说，是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作（如发邮件，发消息，甚至财产操作（如转账和购买商品））。因为浏览器之前认证过，所以被访问的站点会绝点是这是真正的用户操作而去运行。这就利用了web中用户身份认证验证的一个漏洞：简单的身份验证仅仅能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的。 ...

CSRF攻击原理&防御方法

AndreMao的博客

11-04

1374

CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery)，跟XSS攻击一样，存在巨大的危害性，你可以这样来理解：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。例如：Web A为存在CSRF漏洞的网站，Web B为攻击者构建的恶意网站，User C为Web A网站的合法用户。 CSRF攻击攻击原理及过程如下：

CSRF攻击与防御（写得非常好）