2023 Web基础13：CSRF跨站求伪造漏洞与防御.pptx

等待开课…隐雾·安全

CSRF跨站请求伪造讲师：云山隐雾·安全

什么是CSRFCSRF攻击原理CSRF靶场演示CSRF防御目录

1、什么是CSRFCSRF（跨站请求伪造）是一种网络安全漏洞，攻击者将诱导用户无意采取某种操作。这能让攻击者部分得规避一些用来防止不同网页相互干扰的政策。个人理解：就是A想改B的信息，把改信息的链接发给已经登录网站的B，让B点击，成功。

维基百科：跨站请求伪造（英语：Cross-siterequestforgery），也被称为one-clickattack或者sessionriding，通常缩写为CSRF或者XSRF，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS利用的是用户对指定网站的信任，CSRF利用的是网站对用户网页浏览器的信任。

2、什么是CSRF它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。CSRF漏洞的成因就是网站的cookie在浏览器中不会过期，只要不关闭浏览器或者退出登录，那以后只要是访问这个都网站，会默认你已经登录的状态。而在这个期间，攻击者发送了构造好的CSRF脚本或包