跨網站請求僞造攻擊

攻擊者僞造目標用戶的HTTP請求，而後此請求發送到有CSRF漏洞的網站，網站執行此請求後，引起跨站請求僞造攻擊。

攻擊者利用隱蔽的HTTP鏈接，讓目標用戶在不注意的狀況下單擊這個連接，因爲是用戶本身點擊的，而他又是合法用戶擁有合法權限，因此目標用戶可以在網站內執行特定的HTTP連接，從而達到攻擊者的目的。

它與XSS的攻擊方法不一樣，XSS利用漏洞影響站點內的用戶，攻擊目標是同一站點內的用戶者，而CSRF 經過假裝成受害用戶發送惡意請求來影響Web系統中受害用戶的利益。

例如：

某個購物網站購買商品時，採用 http://www.shop.com/buy.php?item=watch&num=100 ，item參數肯定要購買什麼物品，num參數肯定要購買數量，若是攻擊者以隱藏的方式發送給目標用戶連接，那麼若是目標用戶不當心訪問之後，購買的數量就成了100個

防範方法

• 檢查網頁的來源
• 檢查內置的隱藏變量
• 使用POST，不要使用GET，處理變量也不要直接使用$_REQUEST