2.6.3CSRF (跨站请求伪造) (原理, 防范措施 - Token 验证)

文档摘要

2.6.3CSRF (跨站请求伪造) (原理, 防范措施 - Token 验证) 2.6.3 CSRF (跨站请求伪造) 原理跨站请求伪造 (Cross-Site Request Forgery, CSRF) 是一种网络攻击，它允许攻击者诱骗用户在不知情的情况下执行他们不希望执行的操作。与跨站脚本攻击 (XSS) 不同，CSRF 攻击利用的是受信任用户的身份，而不是利用网站本身的漏洞。工作原理：用户登录: 用户登录到受信任的网站（例如，银行网站）。存储Cookie: 网站在用户的浏览器中设置身份验证 Cookie。恶意网站: 攻击者创建一个恶意网站或在已存在的网站上放置恶意代码。诱骗点击: 攻击者通过电子邮件、链接或其他方式诱骗用户访问恶意网站。