5.跨站请求伪造
跨站请求伪造(Cross Site Request Forgery,CSRF),是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法,尤其是攻击者迫使已登录Web应用程序的合法使用者执行恶意的HTTP指令,而Web应用程序却当成合法请求处理,使得攻击者的恶意指令被正常执行。
在跨站请求伪造中,受害者通常是一个不知情的同谋,所有的伪造请求都由他发起,而不是攻击者。这样,Web应用就很难确定哪些请求是属于跨站请求伪造攻击。利用跨站伪造请求,攻击者能让受害用户修改该受害用户允许修改的任何数据,或者是执行该受害用户被授权使用的任何功能。