CSRF

1、csrf介紹

csrf（cross-site-request forgery）：跨站請求僞造，一般縮寫爲csrf或者xsrf，是一種對網站的惡意利用。

2、csrf的原理及過程

一、用戶c打開瀏覽器，訪問受信任的網站A，輸入用戶名和密碼請求登陸網站網站A；

二、在用戶信息經過驗證後網站A產生cookie信息並返回給瀏覽器，此時用戶登陸網站A成功，能夠正常發送請求到網站A；

三、用戶未退出網站A以前，在同一瀏覽器中，打開一個tab訪問網站B；

四、網站B接收到用戶請求以後，返回一些攻擊性代碼，併發出一個請求要求訪問第三方站點A；

五、瀏覽器在接收這些攻擊性代碼以後，根據網站B的請求，在用戶不知情的狀況下攜帶cookie信息，向網站A發出請求。網站A並不知道該請求是由B發起的，因此會根據用戶c的cookie信息以C的權限處理該請求，致使網站B的惡意代碼被執行。