一、CSRF 是什么?
全称跨站请求伪造 ,大白话:黑客冒充你的身份,在你不知情的情况下,替你干坏事。你还登着正规网站,点开黑客的恶意链接 / 页面,网站就被 "骗" 以为是你本人操作。
二、核心原理
- 你正常登录网站 A,浏览器保存了你的Cookie(身份凭证);
- 你点开黑客的恶意网站 B;
- 网站 B 偷偷向网站 A 发操作请求(转账、改密等);
- 浏览器会自动带上 A 的 Cookie,A 以为是你操作,直接执行。
三、主要危害
- 冒用身份转账、消费
- 偷偷改账号密码、绑定信息
- 发恶意帖子、评论
- 篡改个人资料、权限设置
四、和 XSS 的区别(超好记)
- XSS:偷你的信息、代码执行
- CSRF :不偷信息,直接冒用你做事
五、最简单防御方法
- 关键操作加验证码:短信 / 图形验证码,机器无法伪造
- 用 Token 令牌:每次请求带唯一随机码,黑客拿不到
- Cookie 设 SameSite:禁止跨站带 Cookie,从源头拦截
- 校验请求来源:只认合法网站的请求