CSRF理解

Posted xihuangwutong

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CSRF理解相关的知识,希望对你有一定的参考价值。

CSRF

维基百科的定义

跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。


图标详细的展示了流程:


获取用户浏览器的cookie值的时候并不能获取详细的内容
在用户提交表单的时候可以赋值一个隐藏的标签,因为攻击者不知道对应隐藏标签的值,不能利用js给隐藏标签赋值。所以在表单提交的时候能够避免非法的请求

参考文献:维基百科
参考文献:浅谈CSRF攻击方式

以上是关于CSRF理解的主要内容,如果未能解决你的问题,请参考以下文章

什么是CSRF攻击?

CsrfViewMiddleware

CSRF的攻与防

CSRF的攻与防

一个csrf实例漏洞挖掘带你了解什么是csrf

安全相关的问题CSRF攻击怎么确保数据传输中的安全性?