跨站请求伪造与 Same-Site Cookie
跨站请求伪造
跨站请求伪造(又被称为 CSRF 或者 XSRF ),它源自一个域网站向另一个域网站发起请求的简单功能。攻击者通过一些技术手段欺骗用户使用浏览器去访问一个自己曾经认证过的网站并执行一些敏感操作(如转账)。
一个域网站向另一个域的网站发起请求的方式有很多,例如点击一个超链接、加载静态资源、提交表单以及直接发起 ajax 请求等。如:
<a href="http://a.com/xx">点击有惊喜</a> # 诱导用户点击
<img src="http://a.com/xx" > # 浏览器默认加载资源 - 图片
<link href="http://a.com/xx" rel="stylesheet" >
近期评论