CSRF和SSRF有什么区别？网络安全入门

现在是万物互联时代，一切都是信息化的，会涉及到个人隐私信息，一些不法分子可能会利用一些手段获取我们的信息，信息泄露出去便会有危险，因此就诞生了网络安全工程师这个岗位，近几年它的需求量也很大，那CSRF和SSRF有什么区别呢？请看下文：

CSRF：说到CSRF，就不得不提一下XSS了，从名字上看来，同为跨站攻击，XSS攻击是跨站脚本攻击，CSRF攻击是请求伪造，也就是它攻击不是出自用户之手，却经过第三方恶意攻击者的处理，伪装成了受信任用户的行为。

我们所能见到的大部分网站，都是通过cookie等方式记录、分辨出受信任用户的身份，再予以授权的。所以要伪造用户的正常操作，最好的方法是通过XSS或链接引导等途径，让用户在本机发起自己所不知道的危险请求，使得恶意攻击有机可乘，获取用户cookie等信息，以达到身份伪装目的。看到这里不知您是否有所明白，XSS是实现CSRF的诸多途径中的一条，但并不是唯一的一条。

SSRF：也就是Server Side RequestFrogery，服务器端请求伪造，从字面来看，与CSRF不同的是，它是服务器端发出的请求伪造而非用户一段提交，作为受信任用户，服务器当然不可能做出损害用户信息的事。它是一种由攻击者构造形成，由服务端发起请求的一个安全漏洞。因为它是由服务端发起的，所以它能够请求到与它相连但与外网隔离的内部系统。

由于服务端提供了从其他服务器应用获取数据的功能(例如分享等功能)且没有对目标地址做过滤与限制，给予了攻击者乘虚而入的机会。比如从指定URL地址获取网页文本内容，加载指定地址的图片，下载等等。SSRF是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。

总的来说，CSRF是服务器端没有对用户提交的数据进行严格的把控，导致攻击者可以利用用户的Cookie信息伪造用户请求发送至服务器。而SSRF是服务器对用户提供的可控URL地址过于信任，没有经过严格检测，导致攻击者可以以此为跳板攻击内网或其他服务器。

举报/反馈

原文链接：https://baijiahao.baidu.com/s?id=1708304482365545918&wfr=spider&for=pc