CSRF威胁主要源于伪造POST请求的手段,特别是在目标网站存在跨站漏洞时。为了进行攻击,攻击者可能会利用第三方网站作为跳板。例如,假设目标是一个存在问题的博客,攻击者会先在博客上留言,故意留下一个网址,诱使博主点击,然后通过构建一个HTML表单,输入伪造的数据提交到博客。
多窗口浏览器在带来便利的同时,也增加了CSRF的风险。像Firefox、遨游和MyIE这类浏览器,新开的窗口虽然在不同任务之间切换,但它们共享一个进程,这使得会话信息在所有窗口之间是通用的。比如,当在登录的IE窗口浏览新闻时,如果再打开一个IE窗口,虽然新闻窗口的请求不会携带登录时的cookie,但如果是同一个进程,就可能被攻击者利用,因为登录的cookie仍然存在,可能被用于发起CSRF攻击。
因此,当我们在博客、论坛或网页邮件上点击他人的链接时,要意识到这可能隐藏着精心策划的CSRF威胁。为了保护自己,用户需要了解这些攻击手段,并采取相应的安全措施,比如使用经过验证的链接,或者在不重要的页面上关闭cookies,以减少被攻击的风险。
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。