简述CSRF请求跨站伪造（csrf请求非法）

首先什么是CSRF：

如图：

1，用户通过浏览器正常访问带有CSRF漏洞的网站。

如我去访问密码是：password，找到一个修改密码的地方

修改密码为123456，修改的url是：

http://127.0.0.1:8080/DVWA/vulnerabilities/csrf/password_new=123456&password_conf=123456&Change=Change#

2,我们构造恶意网站B将代码保存为index.html

这是恶意网页

攻击 

我们可以看到密码被改了（改成了password）

防御：

1.尽量使用POST，限制GET

2.浏览器Cookie策略

3.Anti CSRF Token

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。