blob: cb8a6509acceac47074fb9dd557ccc419f26a561 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
|
---
title: CSRF
slug: Glossary/CSRF
translation_of: Glossary/CSRF
---
<p><span class="seoSummary"><strong>跨站請求偽造</strong>(Cross-Site Request Forgery, CSRF)是一種冒充信任用戶,來傳送非預期指令的攻擊。</span>比方說,可以在 {{glossary("URL")}} 連結背後添加惡意參數來攻擊:</p>
<pre><img src="https://www.example.com/index.php?action=delete&id=123">
</pre>
<p>對擁有 <code>https://www.example.com</code> 權限的用戶來說,<code><img></code> 元素會在用戶沒注意到的情況下執行 <code>https://www.example.com</code> 的操作。就算這個元素的域名不在 <code>https://www.example.com</code> 亦然。</p>
<p>有很多能預防 CSRF 的辦法,例如實作 {{glossary("REST", "RESTful API")}}、或添加 secure token 等等。</p>
<h2 id="了解更多">了解更多</h2>
<h3 id="一般知識">一般知識</h3>
<ul>
<li>維基百科上的 {{Interwiki("wikipedia", "跨站請求偽造")}}</li>
<li><a href="https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet">Prevention measures</a></li>
<li><a href="/zh-TW/Learn/tutorial/Information_Security_Basics">MDN 安全手冊</a></li>
</ul>
|
