跨站請求僞造
CSRF,全稱爲Cross-Site Request Forgery,即跨站請求僞造,是一種網絡攻擊方式。它通常縮寫爲CSRF或XSRF,也被稱爲"One Click Attack"或"Session Riding"。CSRF攻擊利用了網站對用戶網頁瀏覽器的信任,通過欺騙用戶的瀏覽器去訪問一箇曾經認證過的網站並執行一些操作,如發送郵件、發消息、甚至進行財產操作如轉賬和購買商品等。這種攻擊的成功在於瀏覽器曾經認證過,因此被訪問的網站會認爲是真正的用戶操作而去執行。CSRF攻擊的成因是網站的cookie在瀏覽器中不會過期,只要不關閉瀏覽器或者退出登錄,訪問網站時會默認已經登錄的狀態。攻擊者可以發送構造好的CSRF腳本或包含CSRF腳本的鏈接,可能會執行一些用戶不想做的功能。CSRF與跨站腳本(XSS)不同,XSS利用的是用戶對指定網站的信任,而CSRF利用的是網站對用戶網頁瀏覽器的信任。CSRF是一種重大的安全隱患,曾對包括紐約時報、Metafilter、YouTube、Gmail和百度HI等網站造成威脅。