什么是CSRF攻击?其攻击原理是什么?

　　CSRF，英文全称是Cross-site request forgery，又称为跨站请求伪造，是指黑客引诱用户打开黑客的网站，在黑客的网站中，利用用户的登录状态发起的跨站请求。那么什么是CSRF攻击?其攻击原理是什么?以下是详细内容介绍。

　　什么是CSRF攻击?

　　CSRF攻击是通过强制用户登录到攻击者控制的账户来策划的。为了达到这一目的，黑客使用他们的凭证向网站伪造一个状态改变请求，并将表单提交到受害者的浏览器。服务器对浏览器请求进行身份验证，并将用户登录到攻击者的账户。当受害者向攻击者的账户提交正在登录的敏感信息时，攻击者可以利用这些信息执行一些不必要的操作，包括身份盗窃。

　　CSRF攻击的攻击原理是什么?

　　CSRF攻击一般的攻击原理是，攻击者向目标网站注入一个恶意的CSRF攻击URL地址，当用户访问某特定网页时，如果用户点击了该URL，那么攻击就触发了，我们可以在该恶意的URL对应的网页中，利用来向目标网站发生一个get请求，该请求会携带cookie信息，所以也就借用了用户的身份，也就是伪造了一个请求，该请求可以是目标网站中的用户有权限访问的任意请求。也可以使用JavaScript构造一个提交表单的post请求。比如构造一个转账的POST请求。

　　所以CSRF的攻击分为了两步，首先要注入恶意URL地址，然后在该地址中写入攻击代码，利用等标签或者使用JavaScript脚本。

　　如何防御CSRF攻击？

　　1、尽量使用post，限制get

　　2、浏览器cookie策略

　　3、加验证码，强制用户必须与应用进行交互，才能完成最终请求

　　4、Referer Check

　　5、Anti CSRF Token

　　更多网络安全内容，推荐关注老男孩教育网络安全培训课程。老男孩网络安全培训课程由经验丰富的老师亲自授课，针对不同阶段的学员制定不同进度的课程，脱产班、周末班、网络班总有一款适合你。想学网络安全，点击链接(https://www.oldboyedu.com/video_library.html)进入网络安全自学视频开始学习吧。

　　推荐阅读：

　　缓冲区溢出攻击是什么?如何防御?

　　等级保护测评是什么,流程有哪些?

　　网站数据安全防护措施有哪些?