本文共计874个文字，预计阅读时间需要4分钟。

XSRF攻击即跨站请求伪造，利用了浏览器对用户认证的信任。攻击者诱导受害者执行非授权的操作，从而危害受害者的网络安全。具体来说，攻击者通过在受害者的浏览器中注入恶意脚本，使其在不经意间向受害者的网站发送请求，执行未授权的操作，如修改用户信息、转账等。这种漏洞允许恶意攻击者代表已登录用户执行操作，属于安全漏洞。了解XSRF，要关注网站中图片的SRC属性，它是另一重要因素。

XSRF

XSRF即为跨站请求伪造

这个漏洞利用了浏览器的一个允许恶意攻击者在受害者网站注入脚本使未授权请求代表一个已登录用户的安全漏洞。

了解XSRF

当一个网站的图片SRC属性为另一个网站的链接时，浏览器加载这个网站的这张图片时就会访问另一个网站。

防范请求伪造

重要的请求尽可能使用post方法，但这并不是万能的，因为post方法也会被伪造（如HTML表单或XMLHTTPRequest API来向你的应用发送POST请求）。

为了防范伪造POST请求，我们会要求每个请求包括一个参数值作为令牌（token）来匹配存储在cookie中的对应值。我们的应用将通过一个cookie头和一个隐藏的HTML表单元素向页面提供令牌。当一个合法页面的表单被提交时，它将包括表单值和已存储的cookie。如果两者匹配，我们的应用认定请求有效。

由于第三方站点没有访问cookie数据的权限，他们将不能在请求中包含令牌cookie。这有效地防止了不可信网站发送未授权的请求。