CSRF

Cross Site Request Forgery, 即跨站请求伪造。

原理

前提是向目标网站注入恶意代码并获得了用户身份信息(Cookie),该恶意代码的作用是在用户主动或不知情(如img标签)的情况下请求欺诈网站,然后在欺诈网站上带上获得的用户身份信息请求目标网站,从而达到攻击的目的。简单来说就是:攻击者盗用用户身份发起恶意请求。

CSRF因为需要注入代码、获得cookie,所以是在XSS攻击基础上发起的。

防御

  • 表单提交生成表单令牌(Token), 服务端每次提交需要校验令牌。
  • 使用验证码
  • 验证referer头