本文分享CSRF是什么与如何防范CSRF攻击

CSRF攻击是什么？

CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

CSRF的危害

攻击者盗用你的身份，发送请求，如：以你的身份发送转账请求，发消息，购买虚拟货币等，危害个人信息财产安全。

CSRF的原理

在被攻击者访问如淘宝网站时，会产生cookie。在cookie没有失效的同时，被攻击者点击了CSRF攻击者发出的链接，链接内容是在淘宝购买CSRF攻击者的淘宝店铺商品。通过这样的方式，攻击者就能通过CSRF攻击在被攻击者不知情的情况下卖出产品。
CSRF攻击是源于WEB的隐式身份验证机制！WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器，但却无法保证该请求是用户批准发送的！

CSRF的防御

CSRF的防御可以通过服务端和客户端两个方面来进行。

1. 客户端：登录网站在使用过程中尽量不要进入其他网站或点击链接等，网站浏览完后，及时注销账号。并且要有定时清理cookies的习惯。
2. 服务端：目前大多在服务端进行CSRF的防御，主要方法都是在客户端页面增加伪随机数。