跨站请求伪造
跨站请求伪造(Cross-site request forgery,CSRF)攻击是一种常见的WEB攻击手法。攻击者通过伪造非受害者意愿的请求数据,诱导受害者访问,如果受害者浏览器保持目标站点的认证会话,则受害者在访问攻击者构造的页面或URL的同时,携带自己的认证身份向目标站点发起了攻击者伪造的请求。
简单地说,跨站请求攻击就是攻击者通过某些技术手段欺骗用户的浏览器来访问自己曾经认证过的网站,并执行某些操作(例如发送邮件、发送消息,甚至进行诸如转账和购物等财产操作)。因为浏览器已经通过了认证,所以被访问的网站会认为是真正的用户在运行。这样就利用了web中用户认证的一个漏洞:简单的认证只能保证请求是从特定用户的浏览器发出的,而不能保证请求本身是用户自愿发出的。
