跨站请求伪造(CSRF)的防护措施
CSRF的简介
跨站请求伪造(Cross-Site Request Forgery, CSRF),也被称为 one-click attack 或者 session riding, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。简单地说,CSRF 利用的就是网站对用户网页浏览器的信任。
CSRF的攻击实例
假如一家银行用以执行转账操作的URL地址如下:
http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName
那么,一个恶意攻击者可以在另一个网站上放置如下代码:
<img src="http://www.examplebank.com/