标签： 跨站请求伪造

随着互联网的普及，网络安全变得越来越重要，程序员需要掌握最基本的web安全防范，下面列举一些常见的安全漏洞和对应的防御措施。 01 常见的Web安全问题 1.前端安全 XSS 漏洞 CSRF 漏洞 2.后端安全 SQL 注入漏洞 02 XSS漏洞 1.XSS简介 跨站脚本(cross site script)简称为XSS，是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。...

跨站请求伪造（Cross-Site Request Forgery）或许是最令人难以理解的一种攻击方式了，但也正因如此，它的危险性也被人们所低估。在“开放式Web应用程序安全项目”（OWASP）的榜单中，CSRF（又称XSRF）就位于前10的位置。

　　1、引言

　　跨站点请求伪造（Cross—Site Request Forgery）。以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等着名网站都有过CSRF漏洞。甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月着名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家，将CSRF列为最危险的25个编程错误之一。

　　2、现有的Web安全缺陷

　　2.1 Web安全策略

　　与CSRF有关的主要有三个Web安全策略：同源策略、Cookie安全策略和Flash安全策略。
...