跨站请求伪造

维基百科,自由的百科全书
跳转至: 导航搜索

跨站请求伪造英语Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。[1]跨網站指令碼(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

跨站請求偽造常見的防範方法為利用一個偽亂數,分別透過表單變數和會話傳送,或其他方法傳輸,到了目標網頁再進行比對。

参考资料[编辑]

  1. ^ Ristic, Ivan. Apache Security. O'Reilly Media. 2005. 280. ISBN 0-596-00724-8.