Web安全防护技术之跨站请求伪造

5.跨站请求伪造

跨站请求伪造（Cross Site Request Forgery，CSRF），是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法，尤其是攻击者迫使已登录Web应用程序的合法使用者执行恶意的HTTP指令，而Web应用程序却当成合法请求处理，使得攻击者的恶意指令被正常执行。

在跨站请求伪造中，受害者通常是一个不知情的同谋，所有的伪造请求都由他发起，而不是攻击者。这样，Web应用就很难确定哪些请求是属于跨站请求伪造攻击。利用跨站伪造请求，攻击者能让受害用户修改该受害用户允许修改的任何数据，或者是执行该受害用户被授权使用的任何功能。