CSRF 跨站请求伪造

一、CSRF 是什么?

全称跨站请求伪造 ,大白话:黑客冒充你的身份,在你不知情的情况下,替你干坏事。你还登着正规网站,点开黑客的恶意链接 / 页面,网站就被 "骗" 以为是你本人操作。

二、核心原理

  1. 你正常登录网站 A,浏览器保存了你的Cookie(身份凭证)
  2. 你点开黑客的恶意网站 B;
  3. 网站 B 偷偷向网站 A 发操作请求(转账、改密等);
  4. 浏览器会自动带上 A 的 Cookie,A 以为是你操作,直接执行。

三、主要危害

  • 冒用身份转账、消费
  • 偷偷改账号密码、绑定信息
  • 发恶意帖子、评论
  • 篡改个人资料、权限设置

四、和 XSS 的区别(超好记)

  • XSS:偷你的信息、代码执行
  • CSRF :不偷信息,直接冒用你做事

五、最简单防御方法

  1. 关键操作加验证码:短信 / 图形验证码,机器无法伪造
  2. 用 Token 令牌:每次请求带唯一随机码,黑客拿不到
  3. Cookie 设 SameSite:禁止跨站带 Cookie,从源头拦截
  4. 校验请求来源:只认合法网站的请求
相关推荐
成都渲染101云渲染66664 小时前
如何在3ds Max中实现更快、更高质量的渲染
前端·javascript·人工智能
闲猫6 小时前
Spring AI 对接Deepseek ChatModel 聊天对话
java·前端·spring
自信的未来8 小时前
JSON 工具|Web Worker 工程化打包 + 语法自动修复 + 多语言代码生成实战
java·前端·json
全栈前端老曹8 小时前
【MongoDB】安全与权限管理 —— 用户认证、角色权限、SSL 加密
前端·javascript·数据库·安全·mongodb·nosql·ssl
zhangxingchao9 小时前
AI大模型核心八:从 Agent Skill、长文档 RAG 到知识库更新与训练策略
前端·人工智能·后端
zhangxingchao10 小时前
AI大模型核心七:从 Workflow、RAG、记忆治理到幂等性
前端·人工智能·后端
gyx_这个杀手不太冷静10 小时前
Agent开发进阶指南(第 1 章):AI Agent 到底是什么?
前端·agent·ai编程
小小小小宇11 小时前
模型相关知识
前端
小小小小宇11 小时前
模型相关知识二
前端
IT_陈寒11 小时前
Python装饰器竟然偷偷改了函数名?这个坑我爬了三天
前端·人工智能·后端