CSRF(Cross-site request forgery)跨站請(qǐng)求偽造,也被稱為“One Click Attack”或者Session Riding���,通?���?s寫為CSRF或者XSRF,是一種對(duì)網(wǎng)站的惡意利用�����。盡管聽起來像跨站腳本(XSS)�����,但它與XSS非常不同��,XSS利用站點(diǎn)內(nèi)的信任用戶���,而CSRF則通過偽裝來自受信任用戶的請(qǐng)求來利用受信任的網(wǎng)站���。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對(duì)其進(jìn)行防范的資源也相當(dāng)稀少)和難以防范���,所以被認(rèn)為比XSS更具危險(xiǎn)性�。
先上一段定義。假設(shè)我們的頁面(www.51vv.com)����,正在瀏覽(www.baidu.com)頁面,兩個(gè)頁面同時(shí)瀏覽�,www.baidu.com里面有一段代碼,通過src或者什么表單提交的方式�����,惡意訪問我www.51vv.com的改密碼接口���。因?yàn)槟J(rèn)他是會(huì)帶cookie,后臺(tái)以為是你主動(dòng)去請(qǐng)求����。這樣就造成了攻擊。
為什么token這個(gè)可以防范�����,你在一個(gè)tab頁面里面����,可以訪問其他tab頁的變量嗎?
