CSRF攻击及其防止流程
CSRF流程:
第一步:用户c浏览并登录信任的站点A
第二步:A验证通过,在用户c浏览器产生A的cookie
第三步:用户c在没有退出站点A的情况下访问攻击网站B
第四步:B要求访问第三方的站点A,发出一个请求
第五步:用户浏览器根据B网站的请求,携带cookie访问站点A
第六步:A不知道5中的请求是用户c发出的,还是B发出的,由于浏览器会自动带上用户C的cookie,所以A会根据用户C的权限处理5的请求,这样B就达到了模拟用户登录的过程。
案例:钓鱼网站掉银行接口骗钱案例
招商网站业务流程:
钓鱼网站搭建一个和招商银行一模一样的网站页面,你以为是招商银行的网站,当你访问钓鱼网站时
钓鱼网站向向银行发送请求:
如何防止corf攻击: