安全Popular
CSRF(跨站请求伪造)
一种攻击方式,通过诱骗已认证用户点击恶意链接或提交表单,强迫他们在Web应用中执行非预期的操作。
定义
CSRF利用Web应用对用户浏览器的信任。当用户登录某个网站时,其会话cookie会自动随每个请求发送。攻击者制作恶意页面,向目标网站发送请求,以已认证用户的身份执行操作。现代防御措施包括CSRF令牌、SameSite cookie和来源检查。与XSS不同,CSRF不注入代码——它利用现有会话。
为什么重要
CSRF被列入OWASP Top 10,曾影响YouTube和Netflix等主要网站。没有保护措施,攻击者可以更改密码、转移资金或修改用户数据。现代框架(Rails、Django、Next.js)包含内置的CSRF保护。
示例
用户登录了银行账户。他们访问一个带有隐藏表单的恶意网站,该表单向银行API发送转账POST请求。由于用户的会话cookie自动发送,银行会像用户本人发起的一样处理转账。
相关术语
csrfcross site request forgerycsrf attackcsrf tokencsrf protection