CSRF(Cross-Site Request Forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站向被攻击网站发送跨站请求,利用受害者在被攻击网站的凭证,绕过用户验证
例子
- 受害者登录
a.com,保留登录凭证 - 攻击者引诱受害者访问
b.com b.com向a.com发送了一个请求:a.com/act=xx,浏览器默携带a.com的Cookiea.com接收到请求后,验证请求,确认是受害者的凭证,放行a.com以受害者的名义执行了act=xx