提示:我的碎碎念,如果有错误的地方,望指正,栓Q
CSRF的类型
GET类型
仅需要一个http请求,一般打开网页就中招了
POST类型
通常使用一个自动提交的表单,访问页面后,表单会自动提交,相当于模拟用户完成了一次POST操作。POST相较于GET要求更严格,但不复杂。任何个人网站、博客,被黑客上传页面的网站都有可能是发起攻击的来源,后端接口不能将安全寄托在仅允许POST上面。
链接类型
需要用户点击链接才会触发。这种类型通常是在论坛中发布的图片中嵌入恶意链接,或者以广告的形式诱导用户中招,攻击者通常会以比较夸张的词语诱骗用户点击
CSRF的特点
- 攻击一般发起在第三方网站,而不是被攻击的网站
- 被攻击的网站无法阻止攻击发生
- 攻击利用受害者在被攻击网站的登陆凭证,冒充受害者提交操作,而不是直接窃取数据
- 整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”
- 跨站请求可以用各种方式:图片URL、超链接、CORS、Form提交等;部分请求方式可以直接嵌入在第三方论坛、文章中,难以进行追踪
- CRSF通常是跨域的,因为外域通常更容易被攻击者掌控。但如果本域下又容易被利用的功能,比如可以发图和链接的论坛和评论区,攻击可以直接在本域下进行,而且这种攻击更加危险
传送门(参考链接)
(1条消息) 如何防止CSRF攻击?_小曹要加油的博客-CSDN博客_防止csrf攻击