CSRF(跨站請求偽造)介紹及防范方法

     CSRF(跨站請求偽造)全稱:Cross Site Request Forgery.

    CSRF利用方式比較類似XSS(跨站腳本 Cross Site Scripting) ,不過不同的是CSRF是構(gòu)造一個提交來讓其他人訪問后,利用站點對這些人的信任來進行一些所期望的操作.

    比如:A和B在同一個有XSS漏洞的站點C,B登錄過D站點,并且有這個D站點的Cookies,這時候如果A構(gòu)造一個CSRF,內(nèi)容為給 A在D站點的賬戶轉(zhuǎn)移一些虛擬幣,如果這時候在C站點瀏覽的B用戶打開了A構(gòu)造的含有CSRF的頁面,這時候B的D站點用戶會因為對B用戶的信任而進行給 A轉(zhuǎn)賬的操作.

    防范CSRF只有從程序員本身入手, Origami的方法是用戶登錄后產(chǎn)生隨機Session并賦值給頁面中的某個Hidden標簽,提交表單時候同時提交這個Hidden標簽并驗證,驗證后銷毀標簽,只要用戶不離開頁面就不停產(chǎn)生隨機Session賦值給Hidden標簽< /p>