网络安全之CSRF_网络csrf-CSDN博客

本文链接：https://blog.csdn.net/Cloud_ink/article/details/105170329

本文介绍了CSRF（跨站请求伪造）的概念，通过一个实例展示了攻击过程。黑客利用用户已登录的身份，通过伪造请求进行恶意操作，如转账。文章探讨了CSRF的原理，列举了常见攻击方式，并提出了防御策略，包括验证Referer字段和使用token验证。最后，作者分享了相关学习资源和个人联系方式。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

CSRF概述

中文：跨站请求伪造

英文全称：Cross - site request forrgery

作用：强制终端用户在当前对其进行身份验证后的WEB应用程序上执行非本意的操作

这个漏洞的使用前提：必须要有一个用户登录了这个web应用

攻击的重点：伪造更改状态类的请求，比如修改密码或者是转账什么的

攻击路径：诱骗用户进行操作，或是强制用户进行操作

CSRf具备普遍性

举个栗子（来着简书链接如下，侵必删）

场景还原

下班后，手机没电关机之前的最后一个电话是我一朋友打来借钱的。无奈我只能打开Chrome，访问了某银行网站，好在我成功登录（手机接到验证码后便关机了）。

导航到转账页面，我输入好金额和对方账号，点击提交后，浏览器发起一个请求：

GET https://bank.cn/withdraw?account=sjyuan&amount=5000&for=FriendAccount

转账成功后，我开始浏览某论坛。某帖子有一个评论附了一张照片，我好奇地点击了照片，不料中招，链接地址是：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nPPlQS1c-1585406082494)(https://bank.cn/withdraw?account=sjyuan&amount=50000&for=HackerAccount)]

由于黑客足够黑加上我足够穷，此次转账5W失败（余额不足）。

你可能会纳闷，为什么这个转账操作会被服务器接受呢？

首先，黑客没有强制我去做什么，他也没法获取我从服务器上所获取的信息，他做的事情是向我访问的网站域名发出一个GET请求，而该请求会自动附上浏览器中该域（bank.cn）对应Cookie中的用户身份认证信息（Session未过期），所以服务器认为这是一个认证过的用户请求。更糟糕的是，服务器上没有留下黑客的任何非法攻击痕迹（当然收款方账号可能留下了技术之外的脚印），因为服务器认为该请求是我发起的。

作者：袁慎建

链接：https://www.jianshu.com/p/a3a8a3698d67

来源：简书

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

CSRF原理

诱惑信息：

可以写一个a标签附上转账链接和带有诱惑性的信息

比如：

<a. herf=“转账链接”>离散算法题目解答
或是img标签也可以在src上写上转账链接

整理一下

首先小户（用户）登录银行网站

小黑（黑客）创建了一个假的网站

小户在登录银行后登录或点击小黑创建的网站也就是恶意网站

然后小黑的网站就将恶意代码载入到小户的客户端

再利用小户的客户端向服务器发生请求

用比较官方的话来说就是，黑客利用不法手段继承了受害者的身份和特殊权利，代表受害者执行非本意的恶意操作