Web 安全：CSRF 攻擊深入淺出（gitchat交流）

報名地址: "http://gitbook.cn/gitchat/activity/5a0ba347e1f755571483ea5a"

CSRF（XSRF）中文名為跨站請求偽造，OWASP Top 10 常見 web 漏洞之一。與 XSS 不同的是，其攻擊形式為:用戶首先登錄一正常網站（Normal Website），正常網站向用戶瀏覽器響應 cookie 信息，此時用戶還保持在會話連接狀態未對登錄狀態進行註銷。默認情況下，用戶關閉瀏覽器則 cookie 信息將被清除，不過可以通過修改 Cookie 的 expires 屬性來設置其有效期。然後用戶又打開瀏覽器另一標籤頁（tab）訪問了一個惡意網站（Malicious Website），Malicious Website 會自動構造指向 Normal Website 的惡意 HTTP 請求(增刪改您的重要信息)。

在實際項目開發工作中，除了一些資深開發工程師，大部分程序員對 CSRF 的認識是有很大局限性的，究其原因主要還是對其具體攻擊形式與原理理解還不夠深入。CSRF 攻擊形式其實很簡單，正因為它的簡單反而容易被人忽視，因此它的危害非常巨大。本場 Chat 我將分享：

1. CSRF 原理
2. CSRF 攻擊方式(案列分析)
3. CSRF 防禦方式(前後端分離場景下)
4. CSRF 的 Token 安全性分析
5. CSRF 與 XSS 的區別

推薦閱讀：