CSRF
是利用用户的身份,一般是构造链接让用户点击,获取用户的cookie之后,发送post或get请求,实现操作后台数据的目的
Cookie保持机制
Session Cookie,浏览器不关闭则不失效 本地Cookie,设定时间,时间过期之后才失效
CSRF几种攻击方式
*HTML CSRF* 可以发起get请求的标签
<link href = ' ' >
<img src = ' ' >
<frame src = ' '>
<script scr = ' '>
<videb src = ' '>
Background:url( ' ')
*JSON Hi Jacking* 够着自定义回调函数
<script>
function hi(data) { console.log(data) };
</script>
<script src = ' http:// www.a.com/json? callback = hi'>
*Flash CSRF* 通过Flash来实现跨域请求
防御方法
通过验证码防御 检查请求来源 :每个请求都带有一个Referer ,Referer表示发生请求之前是在哪个页面,可以对Refer进行判断是否同域 添加请求参数token
