CSRF理解
Posted xihuangwutong
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CSRF理解相关的知识,希望对你有一定的参考价值。
CSRF
维基百科的定义
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
图标详细的展示了流程:
获取用户浏览器的cookie值的时候并不能获取详细的内容
在用户提交表单的时候可以赋值一个隐藏的标签,因为攻击者不知道对应隐藏标签的值,不能利用js给隐藏标签赋值。所以在表单提交的时候能够避免非法的请求
以上是关于CSRF理解的主要内容,如果未能解决你的问题,请参考以下文章