CSRF 跨站请求伪造 防御方案
一.什么是CSRF跨站攻击?
名词解释(Cross-site request forgery)是跨站请求伪造.
攻击原理图:
1. 用户c在a站(www,abc.com)上登陆, a站会将登录信息保存在用户的Cookies中.
2.b站被黑客攻破,在某个页面上注入一串html代码:
如: <div style="displaty:none">
<img src="http://www.abc.com:8081/DEMO_WEB/doTransfer?transfer_accounts=2&transfer_money=50"http://www.abc.com:8081/DEMO_WEB/doTransfer?transfer_accounts=2&transfer_money=50""></div>
图片链接 是 用户在A站上转账的请求url,即向id为2的用户转账50元。
3. 用户c访问b站这个页面的时候,就会自动想a站发送该请求.由于用户c已经在a站上登录,已经有登录cookies,所以a站会认为是用户c已登录,并处理转账请求,就这样在用户c不知道的情况下转出50元.