🔒 网络安全¶
CSRF vs SSRF 区别¶
CSRF(跨站请求伪造)¶
- 攻击目标:服务端 — 让服务器误以为是用户本人发的请求
- 用户已登录网站 A,攻击者诱导用户访问恶意网站 B,网站 B 偷偷向网站 A 发请求,浏览器自动带上 cookie
- 典型场景:已登录银行时点恶意链接 → 转账
- 防御: CSRF Token、SameSite Cookie、检查 Referer/Origin
SSRF(服务器端请求伪造)¶
- 攻击目标:内网/本地服务 — 让服务器去访问攻击者指定的内部资源
- 服务器本身可以访问内网资源,攻击者通过输入框(URL 上传、webhook)让服务器发起请求
- 典型场景:上传图片时 fetch URL,填
http://169.254.169.254读取云元数据密钥 - 防御: 禁止访问内网 IP(白名单)、禁用 file:// 等协议、内网服务加认证
一句话对比¶
- CSRF = "借你的手做事"(借用浏览器身份)
- SSRF = "让服务器当跳板"(服务器被诱导访问内网)