正文转自:http://blog.csdn.net/luck901229/article/details/8261640

一.CSRF是什么?

  CSRF(Cross-site request
forgery),中文名称:跨站请求伪造,也深受称:one click attack/session
riding,缩写为:CSRF/XSRF。

二.CSRF可以开啊?

  你顿时可以如此清楚CSRF攻击:攻击者盗用了你的地位,以你的名义发送恶意请求。CSRF能够开的政工包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的题材包括:个人隐私泄露及资产安全。

三.CSRF漏洞现状

  CSRF这种攻击方式在2000年都被海外的平安人员提出,但在境内,直到06年才开始受关注,08年,国内外的多独大型社区以及交互网站独家爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个重型的BLOG网站),YouTube和百度HI……而现在,互联网及之众站点仍对是毫无防范,以至于安全业界称CSRF为“沉睡的高个子”。

四.CSRF的原理

 

图片 1

 

 从上图可以见见,要就同样坏CSRF攻击,受害者必须逐项完成两单步骤:

  1.登录受信任网站A,并以本土生成Cookie。

  2.当匪登出A的景况下,访问危险网站B。

  看此,你恐怕会说:“如果自身无满足以上两个原则被的一个,我就是非见面被CSRF的抨击”。是的,确实这样,但若免能够确保以下情形不会见生出:

  1.您免可知担保你登录了一个网站后,不再打开一个tab页面并访问另外的网站。

  2.你免能够确保你关闭浏览器了晚,你本地的Cookie立刻过期,你上次之对话已经完结。(事实上,关闭浏览器不克结束一个会话,但多数口都见面错的看关闭浏览器就相当退出登录/结束会见讲话了……)

  3.上图备受所谓的攻击网站,可能是一个留存其他漏洞的而信任的时于人看的网站。

 

以上内容转自:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

 

具体步骤:

1、在Html表单中用了@Html.AntiForgeryToken()就得阻碍CSRF攻击。

2、相应的我们要于Controller中呢要在[ValidateAntiForgeryToken]过滤特性。该特性表示检测服务器请求是否让篡改。注意:该特性只能用于post请求,get请求无效。

3、至于JS,我们的种蒙引用的凡<script
src=”@Url.Content(“~/Content/js/jqueryToken-1.4.2.js”)”
type=”text/javascript”></script>

当JS时如果采用: $.ajaxAntiForgery才行, 如:  $.ajaxAntiForgery({
            type: “post”,             data: { GroupName:
$(“#GroupName”).val(), GroupPhones: $(“#GroupPhones”).val() },
            dataType: “json”,             url: “/Event/Mass/AddGroup”,
            success: function (data) {                 if (data) {

                    alert(“添加事业有成 “);                    
$.unblockUI();                 }                 else {
                    alert(“添加失败 “);                 }          }  })

横流:对数码进行增删改时要防备csrf攻击!

 

 

相关文章

网站地图xml地图