5.跨站請(qǐng)求偽造

跨站請(qǐng)求偽造（Cross Site Request Forgery，CSRF），是一種允許攻擊者通過受害者發(fā)送任意HTTP請(qǐng)求的一類攻擊方法，尤其是攻擊者迫使已登錄Web應(yīng)用程序的合法使用者執(zhí)行惡意的HTTP指令，而Web應(yīng)用程序卻當(dāng)成合法請(qǐng)求處理，使得攻擊者的惡意指令被正常執(zhí)行。

在跨站請(qǐng)求偽造中，受害者通常是一個(gè)不知情的同謀，所有的偽造請(qǐng)求都由他發(fā)起，而不是攻擊者。這樣，Web應(yīng)用就很難確定哪些請(qǐng)求是屬于跨站請(qǐng)求偽造攻擊。利用跨站偽造請(qǐng)求，攻擊者能讓受害用戶修改該受害用戶允許修改的任何數(shù)據(jù)，或者是執(zhí)行該受害用戶被授權(quán)使用的任何功能。