盘点Web基础漏洞之CSRF的分类及防护

网安教育培养网络安全人才技术交流、学习咨询1、定义csrf，cross script request forgery跨站请求伪造，攻击者借用用户的登录凭证，伪造请求提交到凭证对应网站，服务端未经过请求来源检查而默认信任，造成危害。具体的，(1)受害者用户在登录目标网站A后，(2)攻击者基于社工手段使其在同主机同浏览器环境下，访问攻击者控制的网站B，(3)网站B的页面伪造请求通过该浏览器提交到网站A，同时携带对网站A保存在浏览器中的cookie登录凭证，(4)使得网站A的服务端接收后认为是用户自身发送，且是登录后经过身份验证，(5)从而造成危害，数据库增删改或文件操作，或数据查询返回。登录后测试cookie或session作为登录凭证没有直接或间接的token，是否为一次性token不影响。(如果token服务端不检查，或者可以从其它处获取也不影响)登录凭证cookie没有samesite属性设 ………………………………