08-04 CSRF 攻击:骗你带着登录态做坏事

08-04 CSRF攻击 利用的是浏览器会自动带上 Cookie。用户已登录 A 网站,却被 B 网站诱导向 A 发请求。


一、它解决什么

它解决的是为什么“请求来自用户浏览器”不等于“用户真的想这么做”。

二、一个比喻

像骗子拿着你的会员卡去前台办退款。前台看到卡是真的,但没确认是不是你本人意愿。

三、放到系统里看

防护方式包括 CSRF Token、SameSite Cookie、关键操作二次确认、检查 Origin/Referer。

四、常见坑 / 学习抓手

常见坑是只要有登录态就执行危险操作。敏感操作要额外验证意图。

一句话总结

CSRF 是借用户身份发起非本人意愿的请求。


关联笔记