发起 CSRF 攻击的三个必要条件: 第一个,目标站点一定要有 CSRF 漏洞; 第二个,用户要登录过目标站点,并且在浏览器上保持有该站点的登录状态; 第三个,需要用户打开一个第三方站点,可以是黑客的站点,也可以是一些论坛。 满足以上三个条件之后,黑客就可以对用户进行 CSRF 攻击了。这里还需要额外注意一点,与 XSS 攻击不同,CSRF 攻击不会往页面注入恶意脚本,因此黑客是无法通过 CSRF 攻击来获取用户页面数据的;其最关键的一点是要能找到服务器的漏洞,所以说对于 CSRF 攻击我们主要的防护手段是提升服务器的安全性。
满足以上三个条件之后,黑客就可以对用户进行 CSRF 攻击了。这里还需要额外注意一点,与 XSS 攻击不同,CSRF 攻击不会往页面注入恶意脚本,因此黑客是无法通过 CSRF 攻击来获取用户页面数据的;其最关键的一点是要能找到服务器的漏洞,所以说对于 CSRF 攻击我们主要的防护手段是提升服务器的安全性。
此文章为10月Day026学习笔记,内容来源于极客时间《重学前端》,强烈推荐该课程
