[网络协议]一篇文章读懂CSRF、点击劫持和URL跳转的异同

写在前面

首先一起回顾一下这三种漏洞的定义
跨站请求伪造（csrf）是指利用用户已登录的身份，在用户毫不知情的情况下以用户的名义完成的操作；
点击劫持是一种视觉上的欺骗手段，在正常的网页下面还嵌套着一个透明的不可见的iframe，根据前端代码很容易调整iframe的位置与布局，用户被诱导操控正常网页，实则也触发了iframe的功能按钮；
URL跳转是指黑客将一个恶意的url链接和一个可信的url链接相结合，主要针对的是一般用户很少注意url中的参数，导致用户进入了恶意网站。

三者异同

首先说明一下这三个相同点，这三种漏洞都是用户被诱导而主动访问网页的行为，因此三者均是客户端漏洞，不同在于跨站请求伪造和点击劫持一般都是发生在用户登录后，而URL跳转是诱导用户打开恶意链接。点击劫持是两层网页，而CSRF会诱导用户向恶意网站发送数据请求包。

后续持续更新敬请期待