介绍的内容,我觉得自己看Wikipedia就可以了。
假设2049是蜜罐(其他网站也是可以的)
-
被害人,登录第三方网站(比如品葱)
-
被害人,登录蜜罐网站(比如,取个名字叫 K )
-
网站K 发送了伪造的请求给被害人,浏览器会转发这个请求给品葱(就像你正常操作品葱)
-
然后配合XSS,就可以得到品葱的账号和密码
这种攻击非常常见。我没法知道其他人会访问什么网站。而目标网站有没有防御CSRF,我也没法知道。
网上的防御手段,都是针对目标网站的。对于被害人其实没有介绍。
我的解决办法,就是使用Tor访问网站,都要保证隔离性。
一个tor只访问一个网站,如果要访问第二个网站,就重启tor访问,结束以后,再回来。
大网站,类似Google,YouTube,肯定是预防了CSRF的,所以大家可以放心。
小网站,就不保证了。简单讲,小网站别访问就对了!