跨站請求偽造
CSRF,即跨站請求偽造(Cross-Site Request Forgery),是一種網路攻擊技術,也被稱為「一次點擊攻擊」(One-Click Attack)或「會話騎行」(Session Riding)。
這種攻擊的主要特點是利用用戶已經對某個信任網站的認證信息,在用戶不知情的情況下,強制用戶在受害者的網站上執行非自願的操作。這些操作可能是傳送電子郵件、傳送訊息、盜取賬號,甚至進行財務交易等。攻擊者通常會利用一些社會工程學的手段,例如傳送看似無害的連結,誘導用戶點擊,從而觸發攻擊。CSRF攻擊的成功很大程度上依賴於網站對用戶瀏覽器信任,而網站通常只會驗證請求的來源是否合法,而不會深入驗證請求的內容是否被篡改。因此,即使是最小的安全措施疏忽,也可能導致嚴重的後果。