CSRF攻击的全称是跨站点请求伪造。

它的攻击原理如下图:

可以说受害者只需做两步,攻击者就能完成CSRF攻击。

1.登录受信任站点A,并在本地生成Cookie

2.在不登出站的A(不清除Cookie)的情况下,访问恶意站点B

CSRF攻击的防御措施

1.将cookie设置为HttpOnly

2增加token,在请求中放入攻击者不能伪造的信息,并在该信息不能保存在cookie中。

3.通过refer识别

http请求中有个字段叫Referer,它记录了http请求的来源地址。受信站点在处理请求时可以先检查该字段的内容是否来源于本系统网站的域名。从而过滤掉恶意站点的CSRF攻击请求。

Web攻击手段-CSRF攻击及防御策略相关推荐

  1. csrf攻击 java_Web常见攻击手段-CSRF攻击

    什么是CSRF攻击? 跨站请求伪造(Cross-Site Request Forgery, CSRF),恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 C ...

  2. XSS攻击与CSRF攻击

    XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击.攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行.利用这些恶意脚本,攻击 ...

  3. android 访问服务器sql_XSS 攻击、CSRF 攻击、SQL 注入、流量劫持(DNS 劫持、HTTP 劫持)—— 浏览器安全

    今天看了 jsliang 大佬关于网络安全的文章,为了加深一下印象,自己动手写一下. 主要参考文章:网络安全 --- jsliang XSS攻击 XSS(Cross Site Script)跨站脚本攻 ...

  4. WEB攻击之 CSRF 攻击及防御策略

    介绍 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法. 释义: 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如 ...

  5. 网络安全 kali Web安全之CSRF攻击

    CSRF是什么? CSRF(Cross Site Request Forgery),中文是跨站点请求伪造.CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任, ...

  6. WEB攻击之CSRF攻击与防护

    分享一下我的偶像大神的人工智能教程!http://blog.csdn.net/jiangjunshow 也欢迎转载我的文章,转载请注明出处 https://blog.csdn.net/aabbyyz ...

  7. 【Web 安全】CSRF 攻击详解

    文章目录 一.CSRF 简介 二.CSRF 原理 三.CSRF 的危害 四.CSRF 的攻击类型 1. GET型 2. POST型 五.CSRF 的防御 1. 验证 HTTP Referer 字段 2 ...

  8. 浅析:XSS攻击、SQL注入攻击和CSRF攻击

    1.XSS(Cross Site Script)攻击 跨站脚本攻击,是在用户浏览网页时向用户浏览器中执行恶意脚本的攻击方式. 跨站脚本攻击分有两种形式:反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以 ...

  9. XSS攻击和CSRF攻击及其区别

    XSS攻击 XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式. 跨站脚本攻击分有两种形式: 反射型攻击(诱使用户点击 ...

  10. XSS攻击和CSRF攻击(浅显易懂)

    1.XSS攻击(跨站脚本攻击) 往web页面(包含HTML和js文件)嵌入可执行的代码(js) 为什么选择攻击js文件? 在网络传输的时候,js文件是可以被下载或者是通过Ajax提交的 js安全性比较 ...

最新文章

  1. poj_2479 动态规划
  2. 透过现象看本质,图解支持向量机
  3. python多线程处理图片_Python斗图网多线程爬取图片
  4. Mariadb dockerfile测试
  5. mysql模板引擎有哪些_ecshop用的是什么模板引擎?
  6. 介绍Dynamics 365的OrgDBOrgSettings工具
  7. 观察者模式在SAP CRM One Order回调函数中的应用
  8. java中使用lua操作redis
  9. 潜龙号开启水下机器人_国内首个智能绞吸机器人开展水下取土作业
  10. python创建链表实例_python数据结构链表之单向链表(实例讲解)
  11. 有关正则的知识点梳理
  12. JS使用setInterval定时器导致前端页面卡死
  13. md4c语言_docsify-demo/c-4操作系统.md at master · lvITStudy/docsify-demo · GitHub
  14. 重点| 系统集成项目管理工程师考前50个知识点
  15. linux查看外网IP
  16. 如何让计算机自动重启,Win7电脑定时重启怎么设置?Win7电脑定时关机怎么设置?...
  17. 知物由学 | SO加固如何提升Android应用的安全性?
  18. DNS解析错误的问题,域名解析错误导致输入域名不访问而直接输入网站IP却可以正常访问
  19. 强化学习王者荣耀项目修改
  20. 中国大学MOOC-陈越、何钦铭-数据结构-2020春期末考试【个人完整题解记录-判断选择部分】

热门文章

  1. 集合源码解析Map容器Gc回收算法
  2. java map failed_java.lang.OutOfMemoryError:Map failed总结
  3. 诗字辈大全:诗仙、诗圣、诗魔、诗佛、诗神、诗鬼、诗杰、诗狂、诗骨、诗家夫子、诗豪、诗囚、诗奴...
  4. 改变电阻的c语言程序,c语言电阻器分类代码实现
  5. 如何学好书法---临摹
  6. 简易租赁合同(免费)
  7. 柬埔寨江西总商会新年抱团“凝乡情,迎新春”谋发展
  8. STC15学习笔记 第一章 流水灯与数码管
  9. Eigen教程3----矩阵、向量以及标量的运算,转置、共轭以及伴随矩阵
  10. 数据揭秘:中国姓氏排行榜