CSRF 攻击(跨站请求伪造)
一、什么是CSRF?
CSRF(Cross-Site Request Forgery,跨站请求伪造) 是一种常见的网页安全攻击 ,攻击者会诱导你在已登录的状态下 ,不知情地执行非自愿的操作(比如转账、改密码、发帖子、删数据等)。
简单一句话总结:
攻击者盗用了你的身份,在你不知道的情况下,以你的名义发送恶意请求。
二、举个最容易懂的例子(银行转账场景)
正常流程
- 你登录银行网站 → 浏览器保存了登录凭证(Cookie)
- 你手动输入收款账号、金额 → 点击【转账】→ 银行验证你已登录 → 转账成功
CSRF 攻击流程
- 你已经登录了银行,没退出
- 你点开了攻击者发的恶意链接/恶意网页
- 这个恶意页面里,偷偷自动发送 了一条转账请求给银行:
https://bank.com/transfer?to=黑客账号&money=10000 - 浏览器会自动带上你银行的登录Cookie发送请求
- 银行服务器以为是你本人操作,直接执行转账 → 钱被转走!
核心原理
浏览器会自动携带对应网站的Cookie → 服务器无法区分请求是你手动点的,还是恶意网页偷偷发的。
三、CSRF 攻击的三个必备条件
- 你已经登录了目标网站(银行、论坛、后台等)
- 你访问了攻击者构造的恶意页面/链接
- 目标网站没有做 CSRF 防护
四、表单处理为什么要防 CSRF?
你提到的表单提交(登录、注册、付款、修改信息),正是 CSRF 攻击的重灾区:
- 表单提交本质是向服务器发送请求
- 如果不加防护,攻击者可以伪造一模一样的表单请求,冒充你操作
- 内置表单验证 + CSRF 防护 ,就是为了让服务器识别:
✅ 这个请求是用户本人正常提交的
❌ 不是恶意网站伪造的
五、最常用的防护方式:CSRF Token
几乎所有框架(Flask、Django、Express、Spring等)的内置表单防CSRF,都是用这个方案:
- 服务器给你生成一个随机、唯一、一次性的 Token,放进表单里(隐藏字段)
- 你提交表单时,必须带上这个 Token
- 服务器验证 Token 有效 → 才允许操作
- 恶意网页拿不到这个 Token,伪造的请求会直接被拒绝
总结
- CSRF = 跨站请求伪造:攻击者让你在已登录时,偷偷执行恶意操作
- 核心漏洞:浏览器会自动带Cookie,服务器分不清请求来源
- 防护方法 :表单里加 CSRF Token,验证通过才处理请求
- 你提到的内置表单验证:就是框架自动帮你生成、校验 Token,防止这种攻击