CSRF是什么？

CSRF（Cross-site request forgery），中文名稱：跨站請求偽造，也被稱為：one click attack/session riding，縮寫為：CSRF/XSRF。

二.CSRF可以做什么？

你這可以這么理解CSRF攻擊：攻擊者盜用了你的身份，以你的名義發(fā)送惡意請求。CSRF能夠做的事情包括：以你名義發(fā)送郵件，發(fā)消息，盜取你的賬號，甚至于購買商品，虛擬貨幣轉賬。。。。。。造成的問題包括：個人隱私泄露以及財產(chǎn)安全。

CSRF與XSS攻擊的區(qū)別

（1）CSRF攻擊的主要目的是讓用戶在不知情的情況下攻擊自己已登錄的一個系統(tǒng)，類似于釣魚。

如用戶當前已經(jīng)登錄了郵箱，或bbs，同時用戶又在使用另外一個，已經(jīng)被你控制的站點，我們姑且叫它釣魚網(wǎng)站。這個網(wǎng)站上面可能因為某個圖片吸引你，你去點擊一下，此時可能就會觸發(fā)一個js的點擊事件，構造一個bbs發(fā)帖的請求，去往你的bbs發(fā)帖，由于當前你的瀏覽器狀態(tài)已經(jīng)是登陸狀態(tài)，。

所以session登陸cookie信息都會跟正常的請求一樣，純天然的利用當前的登陸狀態(tài)，讓用戶在不知情的情況下，幫你發(fā)帖或干其他事情。預防措施，請求中加入隨機數(shù)，讓釣魚網(wǎng)站無法正常偽造請求。

（2）XSS攻擊的主要目的則是，想辦法獲取目標攻擊網(wǎng)站的cookie，因為有了cookie相當于有了seesion，有了這些信息就可以在任意能接進互聯(lián)網(wǎng)的pc登陸該網(wǎng)站，并以其他人的生份登陸，做一些破壞。預防措施，防止下發(fā)界面顯示html標簽，把《/》等符號轉義。

整合自：博客園相思雨、hyddd

編輯：jq