hongchangfirst

跨站请求伪造是指攻击者可以在第三方站点制造HTTP请求并以用户在目标站点的登录态发送到目标站点，而目标站点未校验请求来源使第三方成功伪造请求。

先说三种角色： 1 Resource Owner，比如说我有一个亚马逊帐号，我就是这个亚马逊帐号的owner。 2 Resource Server，比如说亚马逊的服务器。 3 Client，一般指第三方的应用，即想使用Resource Owner在Resource Server上的Resource的应用。 以前Owner如果想让Client访问在Resource Server上的资