了解跨站請求偽造攻擊方法

跨站點請求偽造（XSRF 或 CSRF）是一種攻擊網站的方法，其中入侵者偽裝成合法且可信的用戶。

什麼是跨站請求偽造？

XSRF 攻擊可用於修改防火牆設定、在論壇上發布未經授權的資料或進行欺詐性金融交易。受攻擊的用戶可能永遠不知道他或她已成為 XSRF 的受害者。即使用戶檢測到這種攻擊，也只是在駭客造成了一定的損害之後，並且沒有措施來修復這個問題。

跨站請求偽造攻擊是如何進行的？

XSRF 攻擊可以透過竊取現有使用者的身份，然後使用先前竊取的身份侵入 Web 伺服器來執行。攻擊者還可以誘騙合法用戶意外發送超文本傳輸協定 (HTTP)請求並將敏感用戶資料傳回給入侵者。

跨站請求偽造與跨站腳本或跨站追蹤相同嗎？

XSRF 攻擊在功能上與跨網站腳本 (XSS)攻擊相反，在跨網站腳本攻擊中，駭客將惡意程式碼插入網站上的連結中，看似來自可信任來源。當最終使用者點擊連結時，嵌入式程式將作為請求的一部分發送，並且可以在使用者的電腦上執行。

XSRF 攻擊也不同於跨站點追蹤 (XST)，後者是一種複雜的 XSS 形式，允許入侵者使用簡單的用戶端腳本獲取 cookie 和其他身份驗證資料。在XSS和XST中，最終使用者是攻擊的主要目標。在XSRF中，Web伺服器是主要目標，儘管這種攻擊的危害由最終用戶承擔。

跨站請求偽造的危險級別

XSRF 攻擊比 XSS 或 XST 攻擊更難防禦。部分原因是 XSRF 攻擊不太常見，也沒有太多關注。另一方面，實際上可能很難確定來自特定使用者的 HTTP 請求是否實際上是由該人發送的。儘管可以採取嚴格的預防措施來驗證嘗試造訪網站的使用者的身份，但使用者並不熱衷於頻繁的身份驗證請求。使用加密令牌可以在背景提供頻繁的身份驗證，以便使用者不會經常受到身份驗證請求的困擾。