CSRF

CSRF (跨站请求伪造) 是一种攻击,它模仿可信用户并向网站发送不需要的命令。

例如,这可以通过在声称去往其他地方的链接后面包含恶意参数来实现 URL

html
<img src="https://www.example.com/index.php?action=delete&id=123" />

对于对 https://www.example.com 具有修改权限的用户,<img> 元素会在他们不知情的情况下在 https://www.example.com 上执行操作,即使元素不在 https://www.example.com 上。

有许多方法可以防止 CSRF,例如实现 RESTful API、添加安全令牌等。

另请参阅