一、CSRF简介
- 什么是CSRF?
-
CSRF原理
浏览器的Cookie保存机制
Session Cookie,浏览器不关闭则不失效
- 本地Cookie,过期时间内不管浏览器关闭与否均不失效
- CSRF与XSS的区别
XSS:利用对用户输入的不严谨然后执行JS语句
CSRF:通过伪造受信任用户发送请求
CSRF可以通过XSS来实现
二、CSRF的几种常见攻击方式
HTML CSRF
通过HTML元素发起CSRF请求JSON HiJacking
Flash CSRF
三、CSRF的防御通过验证码进行防御
检查请求来源
- 增加请求参数token