1. 什么是CSRF?
答:本质是绕过同源策略,使用cookie进行攻击的一种方式。只要用户登录了目标网站A,同时也访问了恶意网站B,则B可以利用A的cookie进行攻击。在chrome中点击inspect,application标签即可查看自己的cookie。CSRF可以是GET型攻击,也可以是POST型攻击。
CSRF
2. 什么是同源策略?
同源策略
下图中,属于同源的只有1,其余的均不同源
是否同源
3. 如何防范CSRF?
答:主要是区分请求来自于自己网站还是别人的网站。其中第二种方式类似于接收商家的验证码,用验证码来防范。
防范
