网络安全原理与应用：跨站请求伪造CSRF简介.pptx

跨站请求伪造CSRF简介 第7章 Web应用安全 目标 Objectives 要求 了解跨站请求伪造CSRF的基本概念； 了解跨站请求伪造CSRF的攻击原理； 跨站请求伪造CSRF简介 一、跨站请求伪造CSRF简介 跨站请求伪造（Cross-site request forgery）CSRF，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。 尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。 跨站请求伪造CSRF简介 一、跨站请求伪造CSRF简介 攻击原理 跨站请求伪造CSRF简介 一、跨站请求伪造CSRF简介 CSRF攻击是源于WEB的隐式身份验证机制 浏览器Cookie机制： 会话Cookie，也被称为临时Cookie。浏览器不关闭则不失效。一般保存在内存中。 本地Cookie，相对于会话