Web安全之CSRF攻击-电子工程世界

CSRF（Cross Site Request Forgery），中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任，以用户身份在攻击页面对目标网站发起伪造用户操作的请求，达到攻击目的。

举个例子

简单版：

假如博客园有个加关注的GET接口，blogUserGuid参数很明显是关注人Id，如下：

那么只要有人打开我这篇博文，那就会自动关注我。

升级版：

假如博客园还是有个加关注的接口，不过已经限制了只获取POST请求的数据。这个时候就做一个第三方的页面，但里面包含form提交代码，然后通过QQ、邮箱等社交工具传播，诱惑用户去打开，那打开过博客园的用户就中招了。

在说例子之前要纠正一个iframe问题，有人会直接在第三方页面这样写。如下：

这样是用问题的，由于同源策略的原因，iframe内容根本加载不出来，所以里面form提交当然不会执行。

PS：我尝试了chrome、IE11、Firefox，情况都是这样。

关键字：csrf Web 引用地址：Web安全之CSRF攻击

上一篇：数据通信协议种类分析
下一篇：TCP协议、算法和原理的介绍

推荐阅读最新更新时间：2024-05-07 17:46

Intel设计智能专用芯片加强Web入网能力

　　英特尔正在规划新的专用系统芯片(SoC)，以加强芯片的Web接入能力。英特尔透露，正是由于互联网的访问特性正越老越多地被应用到各种设备中，传统的电脑以及现在的MID、UMPC等，所以高管们才有了该项规划。　　英特尔还透露，前八款此类产品属于英特尔® EP80579 集成处理器家族，主要面向安全、存储、通信设备以及工业用机器人等应用设计。　　目前，英特尔内部已经规划了超过15个SoC研发项目，其中包括将于今年晚些时候发布的英特尔第一款消费电子(CE)芯片，研发代号为“Canmore”，第二代产品将于明年推出，研发代号为“Sodaville”。此外，英特尔的第二代嵌入式产品线预计将于2009年推出。用于移动互联网终端的英特

[网络通信]

金融服务行业依然是撞库和Web应用程序攻击的重灾区

Akamai安全研究：金融服务行业依然是撞库和Web应用程序攻击的重灾区 Akamai与WMC的研究人员对多种网络钓鱼工具包进行了仔细调查，包括针对11家英国银行发起的“Kr3pto”攻击 2021年5月20日——负责保护和交付数字化体验且深受全球企业信赖的解决方案提供商阿卡迈技术公司（Akamai Technologies, Inc.，以下简称：Akamai）（NASDAQ：AKAM）今天发布了报告《互联网安全状况报告：针对金融行业的网络钓鱼》。报告针对全球以及金融服务行业特定的Web应用程序和撞库攻击流量进行了分析，揭示了从2019年到2020年攻击面同比显著增加的趋势。该报告还介绍了Akamai与WMC Glo

[物联网]

金融服务行业依然是撞库和<font color='red'>Web</font>应用程序攻击的重灾区

恩智浦与Amazon Web Services (AWS)携手合作，拓展互联汽车商机

恩智浦半导体（NXP Semiconductors N.V.，纳斯达克代码：NXPI）今日宣布与 Amazon Web Services ( AWS )达成战略合作关系，共同拓展互联汽车商机。此次合作旨在为下一代汽车交付安全的边缘到云计算解决方案，推动实现基于云的新服务，从而使汽车制造商、其业务合作伙伴和消费者受益。随着汽车行业的重心从功率转向计算能力，大量数据将推动未来汽车创新。这一转变可能会提供对于汽车状态的宝贵洞察，并带来新的数据驱动型服务收入。扩大对实时全车数据的访问、与云服务的安全连接以及简化机器学习（ML）可加速这一转变，促进能够在生命周期内通过远程更新不断改进的智能汽车的实现。为实现前景光明的未来互联

[汽车电子]

一种嵌入式WEB服务器的设计与实现

摘要：介绍了一种嵌入式WEB服务器的设计与实现，实现了以太网与CAN总线网络的直接互连，使用户可以使用PC机通过Internet进行远程访问和控制Web服务器，从而能够将工业现场测控层监测设备得到的数据方便快捷地送到异地的管理监控层。关键词：WEB服务器以太网 CAN总线在企业自动化的工业现场，下层车间的监测设备之间都是采用现场总线相互连接，而企业的管理层和生产监控层都是连于以太网的PC，甚至是位于异地的连于互连网上的PC。为了使工业现场的现场总线上的设备和管理监控层之间的PC能够通信，同时改善故障检测和设备维护的远程访问能力，笔者在CAN总线网与以太网的互连系统中设计了一个嵌入式WEB服务器。 1 嵌入式WEB服务

[嵌入式]

在和欣操作系统上实明的 WEB SERVICE组件

引言嵌入式Internet是近几年随着嵌入式系统的广泛应用和计算机网络技术的发展而兴起的一项技术。嵌入式系统凭借其以应用为中心、以计算机技术为基础、软件硬件可裁剪的特点，赢得了巨大的市场，在应用数量上远远超过了各种通用计算机。随着Internet的发展，各种设备都产生了连接性的需求，从冰箱到电表，似乎所有电器都需要连入因特网。通过为现有嵌入式系统增加因特网接入能力来扩展其功能，以Internet为介质实现信息交互的过程，这就产生了嵌入式Intefnet技术。当前，在诸多的嵌入式操作系统上开发应用的模式与传统的桌面应用开发方式相差无几，基本上采用强类型的系统编程语言(如C、Java)及其相应的开发模式来进行。随着

[嵌入式]

嵌入式WEB服务器中TCP/IP协议栈的设计与实现

随着因特网的迅速发展，Web应用越来越广泛。由于Web技术的开放性和独立平台特性，大大降低了软件系统和通信系统的设计、维护工作量，节省了人员培训费用，提高了现场测试和控制设备的管理水平。而嵌入式Web服务器将Web服务器引入到现场测试和控制设备中，在相应的硬件平台和软件系统的支持下，使传统的测试和控制设备转变为具备了以TCP/IP为底层通信协议，Web技术为核心的基于互联网的网络测试和控制设备，有着一般Web服务器所不具有优势。本文就嵌入式Web服务器在通信协议的选择方面做了具体的研究。 1 嵌入式Web服务器的结构分析嵌入式Web服务器运行的目标系统大多是各类专用设备，内存资源和存储器资源非常有限，它通常作为一种监控、管理

[单片机]

嵌入式<font color='red'>WEB</font>服务器中TCP/IP协议栈的设计与实现

嵌入式Web和ZigBee的智能家居系统方案

智能家居系统是将相对独立的家用电器构成一个统一的系统，进而实现对这些设备和家庭环境的智能管理、远程监控和资源共享。其目的是为人们提供一个安全、舒适、高效和便利的生活环境。本文介绍一种基于嵌入式Web和ZigBee技术的网络化智能家居系统的设计和实现方案。 1、系统结构和功能介绍系统有远端PC、嵌入式网关、USB摄像头和ZigBee组成的家庭内部无线网络四部分组成。设计思想是在每一个家庭设备上都装上ZigBee模块和相应传感器来组成一个终端节点，用来实时监控设备的状态，并且把采集到的数据以无线方式发给ZigBee协调器，这样就由ZigBee协调器和各终端设备组成了一个无线连接的星型结构的家庭内部网络。嵌入式网关是系统的中枢，可以把

[单片机]

基于Cortex-M3内核处理器的嵌入式Web服务器

　　引言　　目前，网络化控制己成为远程控制的主要研究方向，利用网络实现对局域乃至全球范围内设备的监控是工业控制系统的发展趋势。嵌入式Internet远程监控技术作为网络化控制的代表，它解决了工业控制领域中异构网络互联问题，提高了传统装备的智能化水平，促进了传统产业结构的调整。嵌入式Web服务器尤其适用于嵌入式Internet应用，它通过Ethernet或Modem的连接可以轻松连接到任何网络，真正实现对设备的远程管理和控制。　　实现方案　　嵌入式Web服务器必须具备的基本功能包括：可控制与其连接的设备并获取设备的状态和数据;现场信息可以网页形式发布;可及时响应远程用户的控制命令。此外，嵌入式设备应具有功能简

[嵌入式]

热门资源推荐
热门放大器推荐

小广播

热门活动

换一批

■PI 电源小课堂|无 DC-DC 变换实现多路高精度输出反激电源

■有奖直播报名:大联大世平集团&恩智浦 | AI 无所不在，单板电脑也可以

■2024 瑞萨电子MCU/MPU工业技术研讨会——深圳、上海站，火热报名中

■Follow me第二季第4期来啦！与得捷一起解锁蓝牙/Wi-Fi板【Arduino Nano RP2040 Connect】超能力！