CSRF也叫跨站点请求伪造,虽然说网上也有很多相关的CSRF介绍,我个人觉得讲得太复杂了,下面为了让大家快速明白什么是CSRF攻击?以下是给大家举一个简单的例子:
一、CSRF攻击讲解及演示
1、支付宝向某人付款数据包如下:
www.alipay.com/pay.php?name=fujieace&account=2508830500@qq.com&money=1000......
2、某人博客网站首页插入如下代码:
<script src="www.alipay.com/pay.php?name=fujieace&account=2508830500@qq.com&money=1000......"></script>
问:试想一下,如果有人正在浏览这个博客地址,并且他的电脑支付宝官网已处于登陆状态,会发生什么呢?
答:浏览这个博客这位用户就会向支付宝2508830500@qq.com付款1000,这就是一个完整的CSRF;
当然了,这只是一个示例,为了让大家快速理解CSRF。支付宝还是非常安全的,有各种的安全防护,不会仅仅只像这个例子这么简单。
二、防御CSRF攻击方法
同源策略
token验证