概念: CSRF(Cross Site Request Forgery)跨域请求伪造,顾名思义,是在跨域的基础上利用伪造请求而达成的一种攻击手段。是恶意网站引诱顾客点击,或将恶意代码直接植入正常网站,伪造用户向正常网站的服务器发送伪造的请求。 也就是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起跨站请求
浅谈:由于请求是从用户的浏览器发出,便能自动带上用户的cookie发送到服务器。此时如果服务器未做针对跨域的配置,又或者图省事而允许了大部分的http方法跨域,那么此时服务器并不能识别这个请求是否是伪造的。此时服务器将会按照请求进行处理,那么就极有可能造成损失。
原理:
1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;