CSRF是什么？

CSRF（Cross-site request forgery），中文名稱(chēng)：跨站請(qǐng)求偽造，也被稱(chēng)為：one click attack/session riding，縮寫(xiě)為：CSRF/XSRF。

二.CSRF可以做什么？

你這可以這么理解CSRF攻擊：攻擊者盜用了你的身份，以你的名義發(fā)送惡意請(qǐng)求。CSRF能夠做的事情包括：以你名義發(fā)送郵件，發(fā)消息，盜取你的賬號(hào)，甚至于購(gòu)買(mǎi)商品，虛擬貨幣轉(zhuǎn)賬。。。。。。造成的問(wèn)題包括：個(gè)人隱私泄露以及財(cái)產(chǎn)安全。

CSRF與XSS攻擊的區(qū)別

（1）CSRF攻擊的主要目的是讓用戶(hù)在不知情的情況下攻擊自己已登錄的一個(gè)系統(tǒng)，類(lèi)似于釣魚(yú)。

如用戶(hù)當(dāng)前已經(jīng)登錄了郵箱，或bbs，同時(shí)用戶(hù)又在使用另外一個(gè)，已經(jīng)被你控制的站點(diǎn)，我們姑且叫它釣魚(yú)網(wǎng)站。這個(gè)網(wǎng)站上面可能因?yàn)槟硞€(gè)圖片吸引你，你去點(diǎn)擊一下，此時(shí)可能就會(huì)觸發(fā)一個(gè)js的點(diǎn)擊事件，構(gòu)造一個(gè)bbs發(fā)帖的請(qǐng)求，去往你的bbs發(fā)帖，由于當(dāng)前你的瀏覽器狀態(tài)已經(jīng)是登陸狀態(tài)，。

所以session登陸cookie信息都會(huì)跟正常的請(qǐng)求一樣，純天然的利用當(dāng)前的登陸狀態(tài)，讓用戶(hù)在不知情的情況下，幫你發(fā)帖或干其他事情。預(yù)防措施，請(qǐng)求中加入隨機(jī)數(shù)，讓釣魚(yú)網(wǎng)站無(wú)法正常偽造請(qǐng)求。

（2）XSS攻擊的主要目的則是，想辦法獲取目標(biāo)攻擊網(wǎng)站的cookie，因?yàn)橛辛薱ookie相當(dāng)于有了seesion，有了這些信息就可以在任意能接進(jìn)互聯(lián)網(wǎng)的pc登陸該網(wǎng)站，并以其他人的生份登陸，做一些破壞。預(yù)防措施，防止下發(fā)界面顯示html標(biāo)簽，把《/》等符號(hào)轉(zhuǎn)義。

整合自：博客園相思雨、hyddd

編輯：jq