一、CSRF简介

 

  CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one click attack”或者“session riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

二、CSRF原理

  下面用一个例子来演示一下CSRF的原理

  比如一个搜狐博客的用户登录之后浏览一些博客,攻击者构造了一个自己的网页如:

    http://www.a.com/csrf.html

  内容为

    <img src=”http://blog.sohu.com/manage/entry.do?m=delete&id=123” />

  使用了一个<img>标签,其地址指向了伤处博客文章的连接。

  攻击者诱使用户访问这个网页,用户看到一张无法显示的图片,当回过头来再次看搜狐博客的内容时,已经被删除。

  这就是一次简单的CSRF。

  同样的,攻击者也能会诱使用户填写自己的个人信息,比如银行卡号密码,支付宝账号密码之类的,最后造成用户的财产遭受损失。

三、CSRF防御

 

  1.验证码

  验证码被认为是对抗CSRF攻击最简洁有效的防御方法。

  2.Referer Check

  Referer Check可用于检查请求是否来自合法的“源”,常见的互联网应用中,页面与页面之间都有一定的逻辑关系,这就使得每个正常的Referer具有一定的规律。根据这个规律可以判断页面的跳转是否合法。

  3Anti CSRF Token

  业界针对CSRF的防御,一致的做法是使用一个Token。

转载于:https://www.cnblogs.com/JDragons/p/4386743.html

信息安全学习笔记--CSRF相关推荐

  1. 信息安全学习笔记(四)------网络后门与网络隐身

    信息安全学习笔记(四)------网络后门与网络隐身 前言: 本节主要介绍木马,后门和清楚攻击痕迹等,这些技术和方法都是黑客攻击常用的技术. 一.木马 概述:比喻埋伏在别人计算机里,偷取对方机密文件的 ...

  2. 大学生信息安全(学习笔记一)

    一.选择题 [1]强制访问控制的 Bell-Lapadula 模型必须给主,客体标记 安全级别. [2]RF(Reference Monitor) 也被称为"安全核". [3]Be ...

  3. 软考信息安全工程师学习笔记汇总

    软考信息安全工程师学习笔记汇总 https://www.moondream.cn/?p=178 2020年软考信息安全工程师备考学习资料包 1.<信息安全工程师教程>重点标记版 2.& ...

  4. 软考信息安全工程师学习笔记目录

    软考信息安全工程师学习笔记目录 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料. 备考交流QQ群:39460595 2019年软考信息安全工程师备考学习资料包 1.<信息安全工 ...

  5. 2023年软考信息安全工程师备考学习笔记汇总

    信息安全工程师分属"信息系统"专业,位处中级资格,2016年下半年,第一次开考信息安全工程师(中级)考试.目前每年考试一次.已开考六次,2016年11月12日,2017年5月20日 ...

  6. 信息安全数学基础知识点学习笔记(一)

    信息安全数学基础学习笔记(一) 第一章.整数的可除性 整除的概念.欧几里得除法 整除的概念 素数的概念 Eratoshenes筛法 欧几里得除法--最小非负余数 素数的平凡判别 欧几里得除法-- 一般 ...

  7. 20135210——信息安全设计基础第七周学习笔记

    第七周(10.19-10.25): 学习计时:共16小时 读书:5 代码:4 作业:4 博客:3 一.学习目标 1. 了解常见的存储技术(RAM.ROM.磁盘.固态硬盘等) 2. 理解局部性原理 3. ...

  8. SpringBoot学习笔记(3):静态资源处理

    SpringBoot学习笔记(3):静态资源处理 在web开发中,静态资源的访问是必不可少的,如:Html.图片.js.css 等资源的访问. Spring Boot 对静态资源访问提供了很好的支持, ...

  9. elasticsearch狂神说笔记_神级学习笔记!别再说不会Elasticsearch了,这位架构师都整理好了...

    搜索是软件工程师的一项必备技能.而 Elasticsearch 就是一款功能强大的开源分布式搜索与分析引擎,在同领域几乎没有竞争对手--近三年 DB-Engines 数据库评测中,ES 在搜索引擎领域 ...

最新文章

  1. Linux 里有/lib和/usr/lib,这两个目录下的库文件有什么区别吗?如果没区别为什么又要分开放呢...
  2. jQuery的jquery-1.10.2.min.map触发404(未找到)
  3. nginx 配置两个域名
  4. iinflux数据库使用
  5. 软件测试-等价类划分练习
  6. pcl中set程序_PCL中分割方法的介绍(3)
  7. vue组件弹出框点击显示隐藏
  8. 3.in_array低性能问题
  9. 在内核中构造一个UDP 数据
  10. 服务器口令怎么修改,畅捷通不能连接到服务器怎么修改口令
  11. 电容电感滤波原理图解
  12. 用android编写计数器前后台源代码,在Android中实现计数器
  13. 后台管理系统架构成型
  14. sdkman 安装使用教程
  15. 腾讯产品法之读书笔记
  16. 追风筝的人 第五章
  17. Android SDK 国内镜像
  18. 银行信用风险预测分析
  19. dumpstate log总结
  20. 网易逆水寒服务器型号,《逆水寒》周年庆 网易:什么要求都满足

热门文章

  1. java equals 字符串_Java String 字符串 比较 == equals
  2. hssfrow 单元格样式_poi的各种单元格样式以及一些常用的配置
  3. 因果推断笔记——因果图建模之微软开源的EconML(五)
  4. AI智能内容创作的几个方面
  5. R︱高效数据操作——data.table包(实战心得、dplyr对比、key灵活用法、数据合并)
  6. 笔记︱范数正则化L0、L1、L2-岭回归Lasso回归(稀疏与特征工程)
  7. php编程之如何调用支付宝支付接口的实现
  8. spring boot 1.5.4 整合webService(十五)
  9. Lucene中的一些基本概念
  10. 全新的Windows Phone 8开发资源汇总