CSRF — 跨站請求偽造
阿新 • • 發佈:2018-04-28
也會 AR 原理 請求偽造 ros 表單提交 帶來 form form表單提交
csrf:跨站請求偽造(Cross Site Request Forgy)
攻擊原理:登陸受信任的網站A,並在本地生成cookie,在不登出網站A的情況下,訪問了網站B,網站B在用戶不知情的情況下向網站A發送請求,從而產生CSRF攻擊。
實例:
假如網站A中是一個評論頁,如下圖:
網站B的腳本文件:
在不登出網站A時,點擊網站B的鏈接時,會出現:自動評論,如下圖
這其實就是跨站請求偽造對網站帶來的威脅。
網頁B的腳本文件編寫思路:
這段代碼輸出了一個表單,action是指向評論頁面的評論接口的,value是評論頁面的ID值是13,content是評論內容,創建了一個iframe,同時為iframe設置name和style為隱藏,將iframe放入頁面中,form表單提交默認是跳轉的,但是為什麽沒有跳轉呢,這是因為,表單的target與iframe的name的值相同時,這個表單會在iframe中提交和跳轉,因為iframe隱藏了,所以用戶看不到跳轉。這就是一個csrf的過程。
如果用get請求是不是會更加簡單呢?
比如在img的src中添加評論頁面的接口地址,接口地址的參數上加上一個a標簽,指向攻擊網站B的地址,這樣結果會是如下這個樣子:
這樣會自動在評論中添加a標簽,如果其他用戶點擊a標簽,也會收到網站B的攻擊,再次自動發送一個帶有鏈接的評論,這樣循環往復,就會對網站產生很大的威脅。
CSRF — 跨站請求偽造