CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求
浏览器的安全缺陷:
来自与页面相同domain的文件请求都会带cookie,包括图片,音乐,flash,iframe
浏览器cookie缺陷:
1。内存cookie,ie允许跨域访问
2。网站设置 P3P头,ie允许跨域访问cookie
3。firefox没有限制
CSRF攻击分类 :
站内:滥用$_REQUEST , 利用$_GET参数提交表单。(网站对本站cookie登陆的信任)
站外:在站外web页面写js脚本伪造文件请求或者表单提交。(利用网站对跨域cookie的信任)
只要用户浏览这样页面,就会强迫发起请求
利用被攻击站点对用户登陆的信任,在用户不知情的情况下,发表一些内容