一、全称
跨站请求伪造(Cross-site Request Forgery)
二、原理
在用户登陆目标网站后,后端会返回用户登陆的凭证到前端(浏览器的 cookie)。攻击者诱使用户点击某个超链接,该超链接会发送恶意请求(会携带用户的 cookie),从而冒充用户完成业务请求(发帖、盗取用户资金等)。
三、攻击方式
笔者以网站的发帖功能为案例对 CSRF 攻击进行简单的讲解。
3.1 提交 form 表单
下图为模拟攻击演示图:
以下是演示图中,"CSRF 攻击.html" 文件的源码。
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>测试</title>