WEB安全_csrf攻击

什么是xss跨站攻击？

正常访问服务器A，用户信任并在服务器A上登录操作，服务器A保存着用户的session数据，这时用户并没有退出服务器A的系统，然后访问危险服务器B，本来是用户请求服务器返回数据，是一场愉快的对话，然后黑客会利用服务器返回的数据中，插入一段js代码，也就是页面加载完成时候，偷偷摸摸向服务器发起一段特殊含义的URL请求给服务器A，服务器A由于session默认用户的操作合法，就会去完成这段特殊的URL请求，而用户完全不知情的情况下，盗用了自己的身份完成了一些非法操作

那，csrf攻击有哪些危害？

1. 盗取各类用户账号，如用户网银账号、各类管理员账号
2. 盗取企业重要的具有商业价值的资源
3. 非法转账
4. 控制受害机器向其他网站发起攻击、注入木马
5. 跨站请求伪造

6. 以你的名义发送邮件

7. 盗取你的账号

8. 购买商品

9. 虚拟货币转账

那，如何防范？

1. 用户避免访问不认识的网站或者不要随便点开莫名其妙的链接

2. 服务器端，每次都生成一个带有一次性的标识，必须带来标识，服务器端才认可用户操作，合法用户肯定会带来这个标识