瀏覽器的同源策略無法阻止CSRF攻擊,因為攻擊請求被傳輸到第三方入侵站點的代理中相同的源。
Jacob對其中的一些弱點給出了示例,像跨站點腳本攻擊(XSS)、跨站點偽造請求(CSRF)、HTTP響應分割、會話固定攻擊以及SQL注入攻擊等等。
During a CSRF attack, requests originate from an intruding third-party site and are passed through an authenticated browser page to the server.
CSRF攻擊依賴於這樣一個服務器假設:來自啟動了驗*會話的瀏覽器的所有請求都是有效的。
During a CSRF attack, requests originate from an intruder site and are transmitted through an authenticated browser page to the server.
在一個CSRF攻擊過程中,請求源自一個入侵的第三方站點並通過一個已驗*的瀏覽器頁面傳遞到服務器。
每個編輯*作必須伴有一個令牌,這可確保用户請求的有效*,並抵禦CSRF攻擊。
CSRF attacks depend on a server assuming that all requests transmitted from the browser that originally started an authenticated session are valid.
CSRF攻擊通常是以標記的形式出現的,因為瀏覽器將在不知情的情況下調用該url以獲得圖像。
CSRF (Cross Site Request Fogery) allows attackers to bypass cookie based authentication. I blogged about it a while ago.
CSRF attacks are often in the form of tags because the browser unwittingly calls the URL to get the image.