1、简介
CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)
CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对页面浏览器的信任,XSS则利用了系统对用户的信任。
2、CSRF攻击原理
下面为CSRF攻击原理图:
由上图分析我们可以知道构成CSRF攻击是有条件的:
1、客户端必须一个网站并生成cookie凭证存储在浏览器中
2、该cookie没有清除,客户端又tab一个页面进行访问别的网站
3、CSRF例子与分析
我们就以游戏虚拟币转账为例子进行分析
3.1、简单级别CSRF攻击
假设某游戏网站的虚拟币转账是采用GET方式进行操作的,样式如:
1 http://www.game.com/Transfer.php?toUserId=11&vMoney=1000
