什么是 CSRF 攻击，如何避免？

What is a CSRF attack, and how do you prevent it?

题目类型: 技术面试题

这是一道技术面试题，常见于澳洲IT公司面试中。

难度: hard

分类: Security, Web

标签: CSRF, Token, Referer, Captcha, Session

参考答案摘要

答案 CSRF（Cross-site request forgery）也被称为 one-click attack或者 session riding，中文全称是叫跨站请求伪造。一般来说，攻击者通过伪造用户的浏览器的请求，向访问一个用户自己曾经认证访问过的网站发送出去，使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻...

本题提供 STAR 原则详细解答和技术解析，登录匠人学院学习中心即可查看完整答案。