定義

CSRF（Cross-site request forgery）跨站請求偽造，也被稱為“One Click Attack”或者Session Riding，通常縮寫為CSRF或者XSRF，是一種對網站的惡意利用。盡管聽起來像跨站腳本（XSS），但它與XSS非常不同，XSS利用站點內的信任用戶，而CSRF則通過偽裝成受信任用戶的請求來利用受信任的網站。與XSS攻擊相比，CSRF攻擊往往不大流行（因此對其進行防范的資源也相當稀少）和難以防范，所以被認為比XSS更具危險性。

GET方式

一張圖片或者郵件 ?誘導已經登錄用戶進行點擊，點擊之后進行會利用已登錄用戶的信息進行操作：就相當于埋了雷 等著別人踩

POST方式

一張圖片或者郵件 誘導已經登錄用戶進行點擊，點擊之后進行入到我們的表單，我們的表單會根據我們的情況進行設置，用戶點擊后會利用已登錄用戶的信息? 進行一些表單里面的動作進行行動

防范方法

驗證碼

requestheader的Referer

Hidden的input防偽碼 ?盡進行驗證

Yii的方法

采用csrfToken的方法：cookie里面設置一個token（加密的） ?表單一個token ?

都傳到服務器之后 ?cookie的token進行解密 ?解密之后與表單的進行驗證 ?驗證正確之后就判定不是別人提交的表單

?

總結

以上是生活随笔為你收集整理的Security:CSRF的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。