CSRF--跨站请求伪造
CSRF攻击的全称是跨站请求伪造( cross site request forgery),是一种对网站的恶意利用。
XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。
CSRF攻击:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。
CRSF能做的事情包括利用你的身份发邮件、发短信、进行交易转账等,甚至盗取你的账号。
用户访问登录正常网站,浏览器上会存储用户的信息。
当用户在没有退出正常网站下,去访问恶意网站,恶意网站会盗用用户的身份,以用户的身份去访问正常网站。
由于浏览器存储了用户的信息,正常网站不能分辨出请求是恶意网站发出的,会当成用户的请求来执行。