CSRF(Cross-Site Request Forgery,跨站请求伪造) 是一种网络安全攻击方式。 简单来说,攻击者诱导受害者访问一个恶意网站,利用受害者在已登录的目标网站(如银行、社交媒体)上的身份,在受害者不知情的情况下,以受害者的名义发送恶意请求(如转账、发帖、改密)。 --- 一、 通俗易懂的攻击原理(举例) 假设你正在使用网银,并且已经登录了 A银行 的网站(你的浏览器里存有 A银行的 Cookie)。 1. 正常场景:你想给朋友转账 100 元,你点击按钮,浏览器发送请求: 银行收到请求,检查你的 Cookie,确认是你本人,转账成功。 2. CSRF 攻击场景: 你登录了 A银行,没有退出(Cookie 还有效)。 你手滑点开了一个恶意网站 B(或者是一封钓鱼邮件)。 恶意网站 B 的页面里隐藏了一段代码(例如一张不可见的图片): 当你的浏览器加载这张“图片”时,会自动向 发送请求。 关键点:浏览器会自动带上你之前在 A银行 的 Cookie。 后果:A银行的服务器收到请求,看到 Cookie 是合法的,以为是你本人操作的,于是你的 10000 元就被转给了黑...
播面