csrf是跨域請求偽造,其基於cookie機制的狀態保持特點進行偽造使用者請求。使用者登陸信任的**後,在未退出狀態時,訪問其他非信任攻擊**(由於cookie的同源策略,不能跨域請求,但可以在子網域名稱或同網域名稱內進行cookie攜帶)會自動攜帶cookie資訊,此時攻擊**會獲取使用者cookie資訊,並向信任**傳送請求,更改使用者資訊等操作。
策略:一般策略時,表單中增加隱藏欄位csrf_token,並在cookie資訊中設定csrf_token欄位資訊。使用者請求時,伺服器對csrf_token進行校驗。非信任**由於不能獲取到表單中的隱藏字段,因此,容易被伺服器鑑別。
flask中可以設定csrfprotect()類,可以自動進行校驗工作,但使用者需要自己設定cookie的csrf_token欄位。前端使用者請求時,請求頭中攜帶該欄位資訊。
Web安全之CSRF攻擊
csrf是什麼?csrf cross site request forgery 中文是跨站點請求偽造。csrf攻擊者在使用者已經登入目標 之後,誘使使用者訪問乙個攻擊頁面,利用目標 對使用者的信任,以使用者身份在攻擊頁面對目標 發起偽造使用者操作的請求,達到攻擊目的。舉個例子 簡單版 假如有個加關注...
Web安全之CSRF攻擊
源文位址 csrf是什麼?csrf cross site request forgery 中文是跨站點請求偽造。csrf攻擊者在使用者已經登入目標 之後,誘使使用者訪問乙個攻擊頁面,利用目標 對使用者的信任,以使用者身份在攻擊頁面對目標 發起偽造使用者操作的請求,達到攻擊目的。舉個例子 簡單版 假如...
Web安全之CSRF攻擊
跨站點請求偽造 cross site request forgery 攻擊者盜用合法使用者的身份,傳送惡意請求到伺服器,然而對伺服器來說,請求是完全合法的,於是伺服器在完全不知情的情況下完成了攻擊者所期望的操作。首先使用者瀏覽並登入了受信任站點a,通過站點a驗證後,授權資料儲存在站點a產生的cook...