什么是 CSRF？如何防止 CSRF 攻击？

CSRF 攻击是一种常见且危险的 Web 安全漏洞，攻击者可以通过伪造用户请求，执行恶意操作，这篇文章，我们将一起分析什么是 CSRF？CSRF是如何工作的？以及我们该如何预防 CSRF？

什么是 CSRF?

CSRF，全称 Cross-Site Request Forgery，中文翻译为跨站请求伪造，它是一种网络安全漏洞，攻击者通过伪造用户的请求，利用用户在已登录的情况下的身份验证信息，向服务器发送恶意请求，从而执行未经用户授权的操作。

CSRF攻击通常发生在用户已经登录了某个网站的情况下，攻击者在用户不知情的情况下利用用户的身份信息发送恶意请求，导致服务器误以为是用户发送的合法请求。

如下图所示，CSRF攻击大致由两部分组成：

• 跨站点：用户登录到一个网站，并且被骗点击了攻击者构建的另一个网站链接，这代表了 CSRF 的“跨站点”部分。
• 请求伪造：当受害者用户在同一浏览器中打开链接时，会向该网站发送一个伪造的请求，其中包含攻击者设置的值以及受害者与该网站关联的所有 cookie。

CSRF 如何工作？

CSRF攻击一般是按照下面 2个步骤进行：

1. 利用会话Cookie
2. 构造CSRF攻击

利用会话Cookie

CSRF攻击会利用了会话cookie&#x