2.3 跨站请求伪造 (Cross-Site Request Forgery, CSRF)

文档摘要

2.3 跨站请求伪造 (Cross-Site Request Forgery, CSRF) 2.3 跨站请求伪造 (Cross-Site Request Forgery, CSRF) 跨站请求伪造 (CSRF)，也被称为“one-click attack”或Session Riding，是一种强制终端用户在当前对其信任的Web应用上执行非本意的操作的攻击方法。与跨站脚本 (XSS) 攻击不同，XSS 是利用站点对用户输入的安全过滤不足，攻击者注入恶意脚本到网页中，从而劫持用户浏览器会话；而 CSRF 则是利用网站对用户浏览器的信任，诱骗用户点击恶意链接或访问恶意页面，利用用户在目标网站已有的认证信息（如 Session Cookie），强制用户执行特定操作。 2.3.