一、CSRF簡介
- 什麼是CSRF?
跨站僞造請求(CSRF) - CSRF原理 浏覽器的Cookie儲存機制
跨站僞造請求(CSRF) - Session Cookie,浏覽器不關閉則不失效
- 本地Cookie,過期時間内不管浏覽器關閉與否均不失效
-
CSRF與XSS的差別
XSS:利用對使用者輸入的不嚴謹然後執行JS語句
CSRF:通過僞造受信任使用者發送請求
CSRF可以通過XSS來實作
二、CSRF的幾種常見攻擊方式
-
HTML CSRF
通過HTML元素發起CSRF請求
跨站僞造請求(CSRF) - JSON HiJacking
跨站僞造請求(CSRF) - Flash CSRF 三、CSRF的防禦
跨站僞造請求(CSRF) - 通過驗證碼進行防禦
- 檢查請求來源
- 增加請求參數token