CSRF跨站请求伪造

原理

跨站请求伪造（CSRF）与跨站脚本(XSS)非常相似, 只有一个非常重要的不同之处：XSS利用客户端的弱点，而CSRF利用的是网站服务器的弱点。

按照OWASP, “一个CSRF袭击迫使某个登录的浏览器向易受攻击的Web应用发送一个请求，然后以受害者的名义，为入侵者的利益进行所选择的行动”。
这段描述的关键部分是“强迫已登录的”受害者发送请求。攻击者利用网站对目标用户的信任，这意味着如果攻击取得成功，攻击者就能代表用户执行以下行为：1、购买商品;2、转账;3、运行恶意软件，留下很少或不留下查明真实攻击者的痕迹;4、进行股票交易;5、订阅在线服务等。