当前位置: 首页> 财经> 创投人物 > 网站建设 推广全流程_开封企业网络推广方案_百度搜索排行榜_公司网站推广费用

网站建设 推广全流程_开封企业网络推广方案_百度搜索排行榜_公司网站推广费用

时间:2025/7/11 14:22:01来源:https://blog.csdn.net/Marshall_One/article/details/141926435 浏览次数:0次
网站建设 推广全流程_开封企业网络推广方案_百度搜索排行榜_公司网站推广费用

什么是CSRF(Cross Site Request Forgery)

我们来举个例子,假设有一个银行的网站提供已登陆的用户向其他银行账户转账的功能,可能在前端页面上有这样一个表单。

<form method="post"action="/transfer">
<input type="text"name="amount"/>
<input type="text"name="routingNumber"/>
<input type="text"name="account"/>
<input type="submit"value="Transfer"/>
</form>

对应的HTTP请求可能是这样的

POST /transfer HTTP/1.1
Host: bank.example.com
Cookie: JSESSIONID=randomid
Content-Type: application/x-www-form-urlencoded
amount=100.00&routingNumber=1234&account=9876

现在假设你登陆银行的网站,在没有登出的情况下,你访问了一个攻击者的网站,攻击者网站上可能会有这样的HTML代码。

<form method="post"action="https://bank.example.com/transfer">
<input type="hidden"name="amount"value="100.00"/>
<input type="hidden"name="routingNumber"value="evilsRoutingNumber"/>
<input type="hidden"name="account"value="evilsAccountNumber"/>
<input type="submit"value="领奖!"/>
</form>

你喜欢领奖,所以你点击了领奖按钮。在这样过程中,你无意中转了100元给攻击者。在这种情况下,尽管攻击者的网站看不到你银行网站的cookie,但是在你点击领奖时,银行网站的cookie随着攻击者网站请求一起发出去了。
更坏的情况下,刚CSRF攻击的流程都不需要你点击任何按钮,在网页上可以通过javascript脚本直接自动运行。更近一步,当你访问可信的网站,但网站被XXS攻击劫持,也可以触发CSRF攻击。

关键字:网站建设 推广全流程_开封企业网络推广方案_百度搜索排行榜_公司网站推广费用

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com

责任编辑: