CSRF理解

CSRF

维基百科的定义

跨站请求攻击，简单地说，是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作（如发邮件，发消息，甚至财产操作如转账和购买商品）。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞：简单的身份验证只能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的。

---

图标详细的展示了流程：

---

获取用户浏览器的cookie值的时候并不能获取详细的内容
在用户提交表单的时候可以赋值一个隐藏的标签，因为攻击者不知道对应隐藏标签的值，不能利用js给隐藏标签赋值。所以在表单提交的时候能够避免非法的请求

参考文献：维基百科
参考文献：浅谈CSRF攻击方式