---
title: CSRF
slug: Glossary/CSRF
tags:
  - 安全
  - 术语
translation_of: Glossary/CSRF
---
<p>跨站请求伪造（CSRF）是一种冒充受信任用户，向服务器发送非预期请求的攻击方式。例如，这些非预期请求可能是通过在跳转链接后的 {{glossary("URL")}} 中加入恶意参数来完成:</p>

<pre>&lt;img src="https://www.example.com/index.php?action=delete&amp;id=123"&gt;</pre>

<p>对于在 <code>https://www.example.com</code> 有权限的用户，这个 <code>&lt;img&gt;</code> 标签会在他们根本注意不到的情况下对 <code>https://www.example.com</code> 执行这个操作，即使这个标签根本不在 <code>https://www.example.com</code> 内亦可。</p>

<p>有很多预防 CSRF 的方法，比如实现 {{glossary("REST", "RESTful API")}}，增加 secure token 等等。</p>

<h2 id="了解更多">了解更多</h2>

<h3 id="公共知识">公共知识</h3>

<ul>
 <li>{{Interwiki("wikipedia", "跨站请求伪造")}} on Wikipedia</li>
 <li><a href="https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet">防御方法</a></li>
 <li><a href="/en-US/Learn/tutorial/Information_Security_Basics">MDN 安全手册</a></li>
</ul>