CSRF是什么?攻击原理?如何防御CSRF?

一.CSRF是什么？

　　CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

二.CSRF可以做什么？

　　你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......造成的问题包括：个人隐私泄露以及财产安全。

三、常见的攻击类型

        1.GET类型的CSRF 

            仅仅须要一个HTTP请求。就能够构造一次简单的CSRF。 

            样例： 

            银行站点A：它以GET请求来完毕银行转账的操作，如：http://www.mybank.com/Transfer.PHP?toBankId=11&money=1000 

            危险站点B：它里面有一段HTML的代码例如以下：

  首先。你登录了银行站点A，然后访问危险站点B，噢，这时你会发现你的银行账户少了1000块

            为什么会这样呢？原因是银行站点A违反了HTTP规范，使用GET请求更新资源。

            在訪问危险站点B的之前。你已经登录了银行站点A，而B中的 一个合法的请求，但这里被不法分子利用了）。所以你的浏览器会带上你的银行站点A的Cookie发出Get请求，去获取资源以GET的方式请求第三方资源（这里的第三方就是指银行站点了，原本这是http://www.mybank.com/Transfer.php?toBankId=11&money=1000 ，结果银行站点服务器收到请求后，觉得这是一个更新资源操作（转账操作），所以就立马进行转账操作。

四、如何防御CSRF

此部分为隐藏内容，请输入验证码后查看

验证码：

扫描右侧图片，或微信搜索 “ 网络财神 ” 或 “ newjixi ” 关注本站官方公众号，回复 “ 验证码 ” ，获取验证密码。