Cross-Site Request Forgery(CSRF),跨站请求伪造攻击,攻击流程如下图。利用这个漏洞可以使受害者在不知情的情况下,向存在该漏洞的 Web 站点发送请求,最终以受害 者的身份完成特定操作。CSRF 漏洞的本质原因是重要操作的参数可以被攻击者猜测到。
CSRF 漏洞危害
修改用户信息,如用户的头像、发货地址等。更有甚者,可能执行恶意操作,比如修 改密码、添加/删除好友或者点赞/转发/评论/私信。
CSRF 漏洞防护
针对 CSRF漏洞的防护,可以通过在用户提交的表单中加入随机验证值的方式进行防护, 还可以使用二次验证,例如使用短信验证码、密码确认等方式进行防护。当然,有些业务为了不影响用户的体验,可能会使用 refer 等字段作为验证,这种方法比较简单但也容易被绕过。