---
title: CSRF
slug: Glossary/CSRF
tags:
- 安全
- 术语
translation_of: Glossary/CSRF
---
<p>跨站请求伪造(CSRF)是一种冒充受信任用户,向服务器发送非预期请求的攻击方式。例如,这些非预期请求可能是通过在跳转链接后的 {{glossary("URL")}} 中加入恶意参数来完成:</p>
<pre><img src="https://www.example.com/index.php?action=delete&id=123"></pre>
<p>对于在 <code>https://www.example.com</code> 有权限的用户,这个 <code><img></code> 标签会在他们根本注意不到的情况下对 <code>https://www.example.com</code> 执行这个操作,即使这个标签根本不在 <code>https://www.example.com</code> 内亦可。</p>
<p>有很多预防 CSRF 的方法,比如实现 {{glossary("REST", "RESTful API")}},增加 secure token 等等。</p>
<h2 id="了解更多">了解更多</h2>
<h3 id="公共知识">公共知识</h3>
<ul>
<li>{{Interwiki("wikipedia", "跨站请求伪造")}} on Wikipedia</li>
<li><a href="https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet">防御方法</a></li>
<li><a href="/en-US/Learn/tutorial/Information_Security_Basics">MDN 安全手册</a></li>
</ul>