信息安全学习笔记--CSRF
一、CSRF简介
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one click attack”或者“session riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
二、CSRF原理
下面用一个例子来演示一下CSRF的原理
比如一个搜狐博客的用户登录之后浏览一些博客,攻击者构造了一个自己的网页如:
http://www.a.com/csrf.html
内容为
<img src=”http://blog.sohu.com/manage/entry.do?m=delete&id=123” />
使用了一个<img>标签,其地址指向了伤处博客文章的连接。
攻击者诱使用户访问这个网页,用户看到一张无法显示的图片,当回过头来再次看搜狐博客的内容时,已经被删除。
这就是一次简单的CSRF。
同样的,攻击者也能会诱使用户填写自己的个人信息,比如银行卡号密码,支付宝账号密码之类的,最后造成用户的财产遭受损失。
三、CSRF防御
1.验证码
验证码被认为是对抗CSRF攻击最简洁有效的防御方法。
2.Referer Check
Referer Check可用于检查请求是否来自合法的“源”,常见的互联网应用中,页面与页面之间都有一定的逻辑关系,这就使得每个正常的Referer具有一定的规律。根据这个规律可以判断页面的跳转是否合法。
3.Anti CSRF Token
业界针对CSRF的防御,一致的做法是使用一个Token。
转载于:https://www.cnblogs.com/JDragons/p/4386743.html
信息安全学习笔记--CSRF相关推荐
- 信息安全学习笔记(四)------网络后门与网络隐身
信息安全学习笔记(四)------网络后门与网络隐身 前言: 本节主要介绍木马,后门和清楚攻击痕迹等,这些技术和方法都是黑客攻击常用的技术. 一.木马 概述:比喻埋伏在别人计算机里,偷取对方机密文件的 ...
- 大学生信息安全(学习笔记一)
一.选择题 [1]强制访问控制的 Bell-Lapadula 模型必须给主,客体标记 安全级别. [2]RF(Reference Monitor) 也被称为"安全核". [3]Be ...
- 软考信息安全工程师学习笔记汇总
软考信息安全工程师学习笔记汇总 https://www.moondream.cn/?p=178 2020年软考信息安全工程师备考学习资料包 1.<信息安全工程师教程>重点标记版 2.& ...
- 软考信息安全工程师学习笔记目录
软考信息安全工程师学习笔记目录 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料. 备考交流QQ群:39460595 2019年软考信息安全工程师备考学习资料包 1.<信息安全工 ...
- 2023年软考信息安全工程师备考学习笔记汇总
信息安全工程师分属"信息系统"专业,位处中级资格,2016年下半年,第一次开考信息安全工程师(中级)考试.目前每年考试一次.已开考六次,2016年11月12日,2017年5月20日 ...
- 信息安全数学基础知识点学习笔记(一)
信息安全数学基础学习笔记(一) 第一章.整数的可除性 整除的概念.欧几里得除法 整除的概念 素数的概念 Eratoshenes筛法 欧几里得除法--最小非负余数 素数的平凡判别 欧几里得除法-- 一般 ...
- 20135210——信息安全设计基础第七周学习笔记
第七周(10.19-10.25): 学习计时:共16小时 读书:5 代码:4 作业:4 博客:3 一.学习目标 1. 了解常见的存储技术(RAM.ROM.磁盘.固态硬盘等) 2. 理解局部性原理 3. ...
- SpringBoot学习笔记(3):静态资源处理
SpringBoot学习笔记(3):静态资源处理 在web开发中,静态资源的访问是必不可少的,如:Html.图片.js.css 等资源的访问. Spring Boot 对静态资源访问提供了很好的支持, ...
- elasticsearch狂神说笔记_神级学习笔记!别再说不会Elasticsearch了,这位架构师都整理好了...
搜索是软件工程师的一项必备技能.而 Elasticsearch 就是一款功能强大的开源分布式搜索与分析引擎,在同领域几乎没有竞争对手--近三年 DB-Engines 数据库评测中,ES 在搜索引擎领域 ...
最新文章
- Linux 里有/lib和/usr/lib,这两个目录下的库文件有什么区别吗?如果没区别为什么又要分开放呢...
- jQuery的jquery-1.10.2.min.map触发404(未找到)
- nginx 配置两个域名
- iinflux数据库使用
- 软件测试-等价类划分练习
- pcl中set程序_PCL中分割方法的介绍(3)
- vue组件弹出框点击显示隐藏
- 3.in_array低性能问题
- 在内核中构造一个UDP 数据
- 服务器口令怎么修改,畅捷通不能连接到服务器怎么修改口令
- 电容电感滤波原理图解
- 用android编写计数器前后台源代码,在Android中实现计数器
- 后台管理系统架构成型
- sdkman 安装使用教程
- 腾讯产品法之读书笔记
- 追风筝的人 第五章
- Android SDK 国内镜像
- 银行信用风险预测分析
- dumpstate log总结
- 网易逆水寒服务器型号,《逆水寒》周年庆 网易:什么要求都满足
热门文章
- java equals 字符串_Java String 字符串 比较 == equals
- hssfrow 单元格样式_poi的各种单元格样式以及一些常用的配置
- 因果推断笔记——因果图建模之微软开源的EconML(五)
- AI智能内容创作的几个方面
- R︱高效数据操作——data.table包(实战心得、dplyr对比、key灵活用法、数据合并)
- 笔记︱范数正则化L0、L1、L2-岭回归Lasso回归(稀疏与特征工程)
- php编程之如何调用支付宝支付接口的实现
- spring boot 1.5.4 整合webService(十五)
- Lucene中的一些基本概念
- 全新的Windows Phone 8开发资源汇总