一、csrf介绍
csrf(cross-site-request forgery):跨站请求伪造,通常缩写为csrf或者xsrf,是一种对网站的恶意利用。
二、csrf的原理及过程
1、用户c打开浏览器,访问受信任的网站A,输入用户名和密码请求登录网站网站A;
2、在用户信息通过验证后网站A产生cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
3、用户未退出网站A之前,在同一浏览器中,打开一个tab访问网站B;
4、网站B接收到用户请求之后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
5、浏览器在接收这些攻击性代码之后,根据网站B的请求,在用户不知情的情况下携带cookie信息,向网站A发出请求。网站A并不知道该请求是由B发起的,所以会根据用户c的cookie信息以C的权限处理该请求,导致网站B的恶意代码被执行。