跨站點偽造,顧名思義,在另外乙個站點存在著訪問被攻擊站點的鏈結,鏈結觸發後會攜帶被攻擊連線的cookie。這樣就偽造了一條非使用者自身的操作。危險!假如有以下場景:
1、你在某社交**上面進行了登入。使用完後並沒有登出,而**使用cookie標識使用者狀態。
2、此時你訪問了某個知名顏色**,這個**html**中有一條載入的標籤,標籤位址是上一點的某個社交**中的發訊息鏈結。會自動載入,載入就訪問了鏈結,瀏覽器一看這鏈結有對應cookie就攜帶上了。過一會兒你發現你出現了很多聊天記錄是發的「某某知名顏色**,好看的不好看得都有」
怎麼防範:
1、新增不透明的標記,此標記三方**無法獲得、生成
在每次訪問鏈結是都帶上這條標記。
2、使用cookie的samesite屬性
CSRF跨站請求偽造攻擊 筆記
csrf cross site request forgery 跨站請求偽造,也被稱為 one click attack 或者session riding,通常縮寫為csrf或者xsrf,是一種對 的惡意利用。儘管聽起來像跨站指令碼 xss 但它與xss非常不同,xss利用站點內的信任使用者,而cs...
CSRF跨站點請求偽造原理及防禦
csrf攻擊原理比較簡單,如圖1所示。其中web a為存在csrf漏洞的 web b為攻擊者構建的惡意 user c為web a 的合法使用者。圖1 csrf攻擊原理 1.使用者c開啟瀏覽器,訪問受信任 a,輸入使用者名稱和密碼請求登入 a 2.在使用者資訊通過驗證後,a產生cookie資訊並返回給...
跨站點請求偽造 CSRF 總結和防禦
構建乙個位址,比如說是刪除某個部落格 部落格的鏈結,然後誘使已經登入過該 的使用者點選惡意鏈結,可能會導致使用者通過自己的手將曾經發布在該 的部落格在不知情的情況下刪除了。這種構建惡意鏈結,假借受害者的手造成損失的攻擊方式就叫csrf 跨站點請求偽造。cookie分類 cookie根據有無設定過期時...