CSRF(跨站请求伪造)也称XSRF
作用:通过诱导已登陆重要站点的用户向危险的链接进行访问来模拟用户的行为进行攻击
根源:Web的隐式身份验证机制虽然保证了请求来自于某个用户的浏览器,却无法保证该请求得到了该用户的批准
应用场景:任何用户的操作行为例如转账、购物、修改密码等
优化攻击:钓鱼网站、诱导性的游戏网站、结合xss
防御手段: 1.关键操作只接受POST请求.
2.添加验证机制.
3.检查referer.
4.使用Token进行防御,对参数加密.
5.使用一次性Token,并更新Token.
posted on
