Web安全测试之跨站请求伪造（CSRF）篇

核心提示： 对于应用程序来说，它是无法区分上面的这些差别的，Web安全测试之跨站请求伪造（CSRF）篇(3)，特别是第三种可能是非常危险的，有许多技术（和漏洞）可以隐藏一个链接的真实属性，这里有一个前提，那就是浏览器没有禁止下载图像——实际上浏览器都配置成允许下载图像，链接可以

对于应用程序来说，它是无法区分上面的这些差别的。特别是第三种可能是非常危险的。有许多技术（和漏洞）可以隐藏一个链接的真实属性。链接可以嵌入电子邮件消息中，也可以出现在存心不良的Web站点，然后引诱用户浏览该站点，例如链接出现在位于其他主机上（其它Web 站点、HTML格式的电子邮件消息，等等）的内容中，并且指向应用程序的资源。如果用户单击了该链接，由于他已经通过了站点上Web 应用程序的认证，所以浏览器就会发出一个GET请求给该Web 应用程序，同时将验证信息（包含会话id的cookie）一并发过去。这样会导致在Web 应用程序上执行一个有效操作——该操作可能不是该用户所想要的，例如一个引起在网络银行上进行转帐恶意的链接，等等。

如前所述，通过使用诸如img之类的标签，甚至不需要用户点击具体的链接就能发动攻势。假设攻击者向用户发送了一封电子邮件，诱骗用户访问一个URL，而该URL则指向一个包含下列HTML内容（注意，内容已作精简）的页面：


用时将[]换成<>

当浏览器显示该页面时，它也将设法显示这个指定宽度为0的图像，即该图像是不可见的——这会导致自动向站点中的Web 应用程序发送一个请求。要紧的是，浏览器不管该图像URL实际是否指向一个图片，只要src字段中规定了URL，就会按照该地址触发一个请求。当然，这里有一个前提，那就是浏览器没有禁止下载图像——实际上浏览器都配置成允许下载图像，因为禁用图像后大多数Web应用程序的可用性就会大打折扣。与跨站请求伪造有关的HTML标签问题是总结如下：