一 CSRF 概念
Cross-site request forgery(跨站请求伪造)
攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。/ 有一个用户主动访问攻击页面的过程。与 XSS 攻击相比,CSRF 攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比 XSS 更具危险性。
特点:
攻击一般发起在第三方网站,而不是被攻击的网站。被攻击的网站无法防止攻击发生。/ 攻击利用受害者在被攻击网站的登录凭证,冒充受害者提交操作;而不是直接窃取数据。/ 整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”。/ 跨站请求可以用各种方式:图片 URL、超链接、CORS、Form 提交等等。部分请求方式可以直接嵌入在第三方论坛、文章中,难以进行追踪。