摘要：參考深入解析跨站請(qǐng)求偽造漏洞攻擊的應(yīng)對(duì)之道相關(guān)安全，是一個(gè)很重要的技能，也是一個(gè)領(lǐng)域的知識(shí)。我把這個(gè)領(lǐng)域的東西寫成了一個(gè)系列，以后還會(huì)繼續(xù)完善下去安全一同源策略與跨域安全二攻擊安全三攻擊

全稱是（Cross Site Request Forgery）跨站請(qǐng)求偽造。也就是惡意網(wǎng)站偽裝成用戶向目標(biāo)網(wǎng)站服務(wù)器發(fā)送請(qǐng)求，騙取服務(wù)器執(zhí)行請(qǐng)求中的命令，直接在服務(wù)器改變數(shù)據(jù)值的一種攻擊手段。

用戶需要獲取操作的權(quán)限，目標(biāo)網(wǎng)站服務(wù)器會(huì)要求一次驗(yàn)證，通常都是一次賬號(hào)密碼登錄。服務(wù)器驗(yàn)證通過之后，會(huì)在瀏覽器寫一個(gè)會(huì)話ID，來標(biāo)識(shí)用戶的身份。這是一種隱式驗(yàn)證的方法，用戶只要驗(yàn)證一次獲取到會(huì)話ID之后，在會(huì)話ID未過期的一段時(shí)間內(nèi)的請(qǐng)求操作是不需要再次驗(yàn)證的。但服務(wù)器只能判斷請(qǐng)求是來源于這個(gè)授權(quán)過的瀏覽器，而不能判斷請(qǐng)求是否是用戶發(fā)起或者是用戶授權(quán)的。所以當(dāng)用戶瀏覽了惡意網(wǎng)站之后，惡意網(wǎng)站就可以給服務(wù)器發(fā)起帶有命令的請(qǐng)求，嘗試改變服務(wù)器中的數(shù)據(jù)值。

CSRF的攻擊對(duì)象也就是我們要保護(hù)的對(duì)象。CSRF利用的是授權(quán)瀏覽器向目標(biāo)網(wǎng)站服務(wù)器發(fā)送任何請(qǐng)求時(shí)，都會(huì)自動(dòng)帶上會(huì)話ID或者cookie進(jìn)行身份驗(yàn)證。但是由于瀏覽器同源策略的限制，惡意網(wǎng)站無法看到目標(biāo)網(wǎng)站的cookie或者回話ID，也沒有辦法解析返回的內(nèi)容，所以惡意所能做的就是給服務(wù)器發(fā)送請(qǐng)求，以執(zhí)行請(qǐng)求中所描述的命令，在服務(wù)器端直接改變數(shù)據(jù)的值，而非竊取服務(wù)器中的數(shù)據(jù)

利用天生具有跨域能力的標(biāo)簽--