7.1.3 CSRF（跨站请求伪造）防护机制

文档摘要

7.1.3 CSRF（跨站请求伪造）防护机制 7.1.3 CSRF（跨站请求伪造）防护机制想象这样一个场景：你正在一家银行的网站上操作转账，刚刚登录成功，浏览器里还保存着有效的会话 Cookie。此时，你无意间点开了一个钓鱼链接——它看似无害，实则暗藏玄机。页面加载时，一段隐藏的 JavaScript 自动向银行服务器发起一笔转账请求。由于你的浏览器自动附带了合法的会话 Cookie，银行后端毫无防备地执行了这笔交易。整个过程你甚至毫无察觉。这就是跨站请求伪造（Cross-Site Request Forgery, CSRF）攻击的典型写照。 CSRF 攻击的本质，并非窃取用户凭证，而是利用用户已有的身份认证状态，在用户不知情的情况下，诱使其浏览器向目标站点发起恶意请求。