Skip to content

CSRF攻击 #5

New issue
New issue
Open
Open
CSRF攻击#5
@Chersquwn

Description

@Chersquwn
Chersquwn
opened on Apr 15, 2020

CSRF攻击

CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。

CSRF攻击类型

  • GET类型的CSRF:如img的src等
  • POST类型的CSRF:如自动提交的form表单
  • 链接类型的CSRF: 如a标签的href等

CSRF的防范措施

  • 同源检测:验证OriginReferer
  • SameSite Cookie
  • CSRF Token

Metadata

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions