简介:
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
具体参见:维基百科-跨站请求伪造
防护方式:
上边维基百科中介绍的有两种,简单说一种是检测请求来源,一种是通过每次请求中的伪随机数保证请求唯一性。
spring框架的csrf防护手段