CSRF(Cross-site request forgery 跨站請求偽造,也被稱成為「one click attack」或者session riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。儘管聽起來像跨站腳本(XSS),但它與XSS非常不同,並且攻擊方式幾乎相左。XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防範的資源也相當稀少)和難以防範,所以被認為比XSS更具危險性。
攻擊通過在授權用戶訪問的頁面中包含連結或者腳本的 方式工作。例如:一個網站用戶Bob可能正在瀏覽聊天論壇,而同時另一個用戶Alice也在此論壇中,並且後者剛剛發布了一個具有Bob銀行連結的圖片消 息。設想一下,Alice編寫了一個在Bob的銀行站點上進行取款的form提交的連結,並將此連結作為圖片tag。如果Bob的銀行在cookie中保 存他的授權信息,並且此cookie沒有過期,那麼當Bob的瀏覽器嘗試裝載圖片時將提交這個取款form和他的cookie,這樣在沒經Bob同意的情況下便授權了這次事務。
CSRF是一種依賴web瀏覽器的、被混淆過的代理人攻擊(deputy attack)。在上面銀行示例中的代理人是Bob的web瀏覽器,它被混淆後誤將Bob的授權直接交給了Alice使用。
下面是CSRF的常見特性:
風險在於那些通過基於受信任的輸入form和對特定行為無需授權的已認證的用戶來執行某些行為的web應用。已經通過被保存在用戶瀏覽器中的cookie進行認證的用戶將在完全無知的情況下發送HTTP請求到那個信任他的站點,進而進行用戶不願做的行為。
使用圖片的CSRF攻擊常常出現在網絡論壇中,因為那裡允許用戶發布圖片而不能使用JavaScript。
國慶期間,@蟋蟀哥哥 再次對 OSChina 實施了 CSRF,詳情如下:
http://www.oschina.net/question/12_72060