CSRF 攻击是不是特定于目标网站

Posted

技术标签:

【中文标题】CSRF 攻击是不是特定于目标网站【英文标题】:Are CSRF attack specific to a target websiteCSRF 攻击是否特定于目标网站 【发布时间】:2017-12-25 04:05:23 【问题描述】:

据我了解,CSRF 攻击是关于当用户登录到目标服务器并单击另一个选项卡上的恶意网站时将POST 数据发送到目标服务器。直到这一切都很好。我的问题是攻击的机会是恶意网站应该知道目标网站的表单参数,并且用户也需要登录到目标网站。恶意网站只能攻击一个或几个网站,而且用户必须登录,这不是很少见吗?我错过了什么吗?

【问题讨论】:

【参考方案1】:

这是一扇最好关着的门。大多数框架都内置了 CSRF 保护,这种情况经常发生。

OWASP: Cross-Site Request Forgery

【讨论】:

以上是关于CSRF 攻击是不是特定于目标网站的主要内容,如果未能解决你的问题,请参考以下文章

Web安全之CSRF攻击

Web信息安全实践_3.3 CSRF原理

web 安全问题:CSRF 攻击

Web安全之CSRF攻击

安全系列CSRF攻击与防御

Web安全之CSRF攻击的防御措施