大学课程《电力行业信息安全与攻防技术》教学PPT课件：[7.1.1]跨站请求伪造原理.pptxVIP

跨站请求伪造原理

任务导入任务目标任务讲解任务总结

CSRF（Cross-SiteRequestForgery）CSRF跨站请求伪造

能利用用户身份伪造恶意请求，揭示了“信任机制”的致命漏洞电力行业数字化转型中，安全意识是核心素养，防止电网系统连锁风险。CSRF攻击特性安全意识重要性CSRF攻击与电力系统风险

任务导入任务目标任务讲解任务总结

任务目标知识目标能力目标素养目标理解CSRF攻击原理中“会话劫持”和“请求伪造”的关键技术点能够识别风险触发条件培养“技术为民、安全护国”的职业信念，将个人技术成长与国家能源安全需求紧密结合

任务导入任务目标任务讲解任务总结

CSRF跨站请求伪造

重点黑帽子如何借助受害者的在线活动和会话信息，以受害者的身份伪造请求。核心思想误导服务器，使其无法区分请求的真实来源，而只关注请求是否合法。CSRF跨站请求伪造

攻击场景示例Alice受广告吸引，访AmazingDeals单击商品页面，稍作浏览后便关闭了页面，未作进一步购买

攻击场景示例浏览器悄悄地向“AmazingDeals”的服务器发送了一个请求。她将会不知情地购买一台昂贵的电子设备。即使Alice已经离开了“AmazingDeals”网站，服务器仍在后台继续执行购买操作。

黑帽子在“AmazingDeals”网站上嵌入了一个恶意图片标签，从而实施CSRF攻击。相关的代码如下：imgs