CSRF是什么 CSRF與XSS攻擊的區別

CSRF是什么？

CSRF（Cross-site request forgery），中文名稱：跨站請求偽造，也被稱為：one click attack/session riding，縮寫為：CSRF/XSRF。

二.CSRF可以做什么？

你這可以這么理解CSRF攻擊：攻擊者盜用了你的身份，以你的名義發送惡意請求。CSRF能夠做的事情包括：以你名義發送郵件，發消息，盜取你的賬號，甚至于購買商品，虛擬貨幣轉賬。。。。。。造成的問題包括：個人隱私泄露以及財產安全。

CSRF與XSS攻擊的區別

（1）CSRF攻擊的主要目的是讓用戶在不知情的情況下攻擊自己已登錄的一個系統，類似于釣魚。

如用戶當前已經登錄了郵箱，或bbs，同時用戶又在使用另外一個，已經被你控制的站點，我們姑且叫它釣魚網站。這個網站上面可能因為某個圖片吸引你，你去點擊一下，此時可能就會觸發一個js的點擊事件，構造一個bbs發帖的請求，去往你的bbs發帖，由于當前你的瀏覽器狀態已經是登陸狀態，。

所以session登陸cookie信息都會跟正常的請求一樣，純天然的利用當前的登陸狀態，讓用戶在不知情的情況下，幫你發帖或干其他事情。預防措施，請求中加入隨機數，讓釣魚網站無法正常偽造請求。

（2）XSS攻擊的主要目的則是，想辦法獲取目標攻擊網站的cookie，因為有了cookie相當于有了seesion，有了這些信息就可以在任意能接進互聯網的pc登陸該網站，并以其他人的生份登陸，做一些破壞。預防措施，防止下發界面顯示html標簽，把《/》等符號轉義。

整合自：博客園相思雨、hyddd

編輯：jq