CSRF(Cross-Site Request Forgery,跨站请求伪造),也被称为 "One Click Attack" 或 "Session Riding",是一种网络安全攻击方式。 简单来说,攻击者盗用了你的身份,以你的名义发送恶意请求。 --- 1. CSRF 攻击的原理 要理解 CSRF,首先要明白浏览器的一个机制:当你向某个网站发送请求时,浏览器会自动带上该网站的 Cookies。 攻击流程举例(经典的银行转账例子): 假设你正在使用网银,并且已经登录了。 1. 受害者登录: 你登录了 ,服务器给你发了一个 Cookie 用于维持登录状态。 2. 受害者访问恶意网站: 你没有登出网银,在同一个浏览器的新标签页里访问了一个恶意网站 (可能是点击了钓鱼邮件里的链接)。 3. 恶意代码执行: 的页面里隐藏了一段代码(例如一个不可见的图片或自动提交的表单): 4. 浏览器发送请求: 浏览器加载该图片时,会向 发起请求。关键点在于:浏览器发现你是向 发请求,于是自动把你之前的登录 Cookie 带上了。 5. 服务器执行: 的服务器收到请求,检查 Cookie 发现是合法的...
播面