用户如果是搭建网站业务的,可能对于CSRF攻击并不陌生,CSRF攻击是英文Cross-site request forgery的缩写称,其意思是指跨站请求伪造,也被称为One Click Attack或者Session Riding,通常也会缩写为XSRF,是一种对服务器网站恶意利用的攻击。CSRF攻击同时也是服务器安全中很容易被忽略的攻击类型,但CSRF比XSS更具危险性,小编接下来就介绍下服务器CSRF攻击的相关原理。
CSRF攻击是源于服务器Web的隐式身份验证机制,Web的身份验证机制虽然可以保证请求是来自于某个访客的浏览器,但却无法保证该请求是访客批准发送的,因此CSRF攻击一般是由服务端进行。
CSRF攻击过程是黑客向目标服务器网站注入一个恶意的CSRF攻击URL地址,也就是跨站URL地址,当访客访问某特定网页时,如果访客点击了该URL,那么攻击就会触发,
黑客可以在该恶意的url对应的网页中,利用 <img src="" /> 来向目标美国服务器网站发生一个get请求,该请求会携带cookie信息,所以也就借用了访客的身份伪造了一个请求,该请求可以是目标服务器网站中的用户有权限访问的任意请求,也可以使用javascript构造一个提交表单的post请求。比如构造一个转账的post请求。
所以CSRF的攻击服务器分为两步,首先要注入恶意URL地址,然后在该地址中写入攻击代码,利用<img> 等标签或者使用Javascript脚本。
3:欺骗访客的浏览器发送HTTP请求给目标美国服务器站点;
三、CSRF攻击的防御
1:通过 referer、token 或者验证码来检测用户提交;
以上内容就是关于美国服务器CSRF攻击的相关介绍,对于搭建网站业务的用户来说需要做好相关的防御工作,以免遭遇攻击对网站业务造成不良影响。
