CSRF的概念

CSRF（Cross-Site Request Forgery）中文名为“跨站请求伪造”。这是一种常见的网络攻击手段，攻击者通过构造恶意请求，诱骗已登录的合法用户在不知情的情况下执行非本意的操作。这种攻击方式利用了Web应用程序中用户身份验证的漏洞，即浏览器在用户完成登录后会自动携带相关的认证信息（如Cookie、Authorization header等）发送给服务器，使得服务器误以为请求来自已授权的用户。

这种攻击手段其实很常见，因此有必要了解他得到原理以及相对的防范措施。

基于上面的概念描述，CSRF攻击带来的影响可以总结为下面三点:

• 在成功的 CSRF 攻击中，攻击者会导致受害用户无意中执行操作。例如，这可能是更改其帐户上的电子邮件地址、更改密码或进行资金转账。
• 根据操作的性质，攻击者可能能够完全控制用户的帐户。
• 如果受感染的用户在应用程序中具有特权角色，则攻击者可能能够完全控制应用程序的所有数据和功能。

CSRF距离我们并不遥远，以下是一些著名的 CSRF 攻击的示例。

• TikTok ——2020 年，字节跳动收到了有关漏洞的报告，该漏洞允许攻击者向 Tiktok 用户发送包含恶意软件的消息。部署恶意软件后，攻击者可以执行 CSRF 或跨站脚本