CSRF
CSRF (跨站请求伪造) 是一种攻击,它模仿可信用户并向网站发送不需要的命令。
例如,这可以通过在声称去往其他地方的链接后面包含恶意参数来实现 URL
html
<img src="https://www.example.com/index.php?action=delete&id=123" />
对于对 https://www.example.com
具有修改权限的用户,<img>
元素会在他们不知情的情况下在 https://www.example.com
上执行操作,即使元素不在 https://www.example.com
上。
有许多方法可以防止 CSRF,例如实现 RESTful API、添加安全令牌等。