跨站请求伪造(cross-site request forgery; CSRF),理学-计算机科学技术-信息安全-网络安全-网络攻击-Web攻击,通过引诱用户浏览恶意网页并执行其中的恶意脚本的Web攻击。这些恶意脚本的执行效果就是假冒用户发起Web请求并完成一些关键操作。其攻击原理和HTTP协议的会话管理机制相关。当一个合法用户登录Web应用系统时,会得到一个会话ID以表示登录状态(可能是一个临时Cookie值或一个URL参数),登录用户后续访问同一Web应用系统时,浏览器会通过Cookie字段(或URL参数)递交这个会话ID号,Web应用系统则通过该会话ID认定访问来自合法用户。这样的机制存在漏洞,即Web应用系统只通过会话ID认定访问来源,而不管是不是合法用户的真实访问。也就是说,攻击者如果冒充合法用户发起Web请求,Web应用系统没有办法甄别。跨站请求伪造攻击是在被攻击者不知情的情况下发生的,攻击过程包括5个基本步骤,如图所示。跨站请求伪造攻击的基本步骤①被攻击者使用其合法账户信息登录Web应用系统。