CSRF是什么鬼?
Posted 58tester
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CSRF是什么鬼?相关的知识,希望对你有一定的参考价值。
相信做过安全测试的小伙伴对CSRF有一定的了解。下面让我们详细的介绍什么是CSRF。
CSRF(Cross-site request forgery跨站请求伪造,也被称为
One Click Attack或者Session Riding
通常缩写为CSRF或者XSRF,是一种对网站的恶意利用
一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,并将此链接作为图片tag。如果Bob的银行在cookie中保存他的授权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了这次事务。
假设项目中出现这样的安全漏洞是不是很严重!!!
以上是关于CSRF是什么鬼?的主要内容,如果未能解决你的问题,请参考以下文章