diff options
Diffstat (limited to 'files/zh-tw/glossary/csrf/index.html')
| -rw-r--r-- | files/zh-tw/glossary/csrf/index.html | 23 |
1 files changed, 23 insertions, 0 deletions
diff --git a/files/zh-tw/glossary/csrf/index.html b/files/zh-tw/glossary/csrf/index.html new file mode 100644 index 0000000000..cb8a6509ac --- /dev/null +++ b/files/zh-tw/glossary/csrf/index.html @@ -0,0 +1,23 @@ +--- +title: CSRF +slug: Glossary/CSRF +translation_of: Glossary/CSRF +--- +<p><span class="seoSummary"><strong>跨站請求偽造</strong>(Cross-Site Request Forgery, CSRF)是一種冒充信任用戶,來傳送非預期指令的攻擊。</span>比方說,可以在 {{glossary("URL")}} 連結背後添加惡意參數來攻擊:</p> + +<pre><img src="https://www.example.com/index.php?action=delete&id=123"> +</pre> + +<p>對擁有 <code>https://www.example.com</code> 權限的用戶來說,<code><img></code> 元素會在用戶沒注意到的情況下執行 <code>https://www.example.com</code> 的操作。就算這個元素的域名不在 <code>https://www.example.com</code> 亦然。</p> + +<p>有很多能預防 CSRF 的辦法,例如實作 {{glossary("REST", "RESTful API")}}、或添加 secure token 等等。</p> + +<h2 id="了解更多">了解更多</h2> + +<h3 id="一般知識">一般知識</h3> + +<ul> + <li>維基百科上的 {{Interwiki("wikipedia", "跨站請求偽造")}}</li> + <li><a href="https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet">Prevention measures</a></li> + <li><a href="/zh-TW/Learn/tutorial/Information_Security_Basics">MDN 安全手冊</a></li> +</ul> |