1. 术语表
  2. 跨站请求伪造 (CSRF)

跨站请求伪造 (CSRF)

跨站请求伪造 (CSRF) 攻击中,攻击者会诱骗浏览器从恶意网站向目标网站发起 HTTP 请求。该请求包含用户的凭证,并导致服务器在以为用户有意为之的情况下执行某些有害操作。

如果网站出现以下情况,则可能发生 CSRF 攻击:

  • 使用 HTTP 请求更改服务器上的某些状态
  • 仅使用 cookie 来验证请求是否来自已认证的用户
  • 仅使用攻击者可以预测的请求中的参数

有几种防御 CSRF 攻击的方法,包括 CSRF 令牌、使用 Fetch 元数据 来阻止某些跨站请求,以及为用于认证敏感请求的 cookie 设置 SameSite 属性

另见

帮助改进 MDN

了解如何贡献

此页面最后修改于 ,由 MDN 贡献者修改。

在 GitHub 上查看此页面报告此内容的问题
© . Content available under a Creative Commons license.