CSRF:Cross Site Request Forgery(跨站點(diǎn)請(qǐng)求偽造)。
CSRF 攻擊者在用戶已經(jīng)登錄目標(biāo)網(wǎng)站之后,誘使用戶訪問(wèn)一個(gè)攻擊頁(yè)面,利用目標(biāo)網(wǎng)站對(duì)用戶的信任,以用戶身份在攻擊頁(yè)面對(duì)目標(biāo)網(wǎng)站發(fā)起偽造用戶操作的請(qǐng)求,達(dá)到攻擊目的。
避免方法:
CSRF 漏洞進(jìn)行檢測(cè)的工具,如 CSRFTester、CSRF Request Builder...
驗(yàn)證 HTTP Referer 字段
添加并驗(yàn)證 token
添加自定義 http 請(qǐng)求頭
敏感操作添加驗(yàn)證碼
使用 post 請(qǐng)求
