摘要：參考深入解析跨站請求偽造漏洞攻擊的應對之道相關(guān)安全，是一個很重要的技能，也是一個領(lǐng)域的知識。我把這個領(lǐng)域的東西寫成了一個系列，以后還會繼續(xù)完善下去安全一同源策略與跨域安全二攻擊安全三攻擊

全稱是（Cross Site Request Forgery）跨站請求偽造。也就是惡意網(wǎng)站偽裝成用戶向目標網(wǎng)站服務器發(fā)送請求，騙取服務器執(zhí)行請求中的命令，直接在服務器改變數(shù)據(jù)值的一種攻擊手段。

用戶需要獲取操作的權(quán)限，目標網(wǎng)站服務器會要求一次驗證，通常都是一次賬號密碼登錄。服務器驗證通過之后，會在瀏覽器寫一個會話ID，來標識用戶的身份。這是一種隱式驗證的方法，用戶只要驗證一次獲取到會話ID之后，在會話ID未過期的一段時間內(nèi)的請求操作是不需要再次驗證的。但服務器只能判斷請求是來源于這個授權(quán)過的瀏覽器，而不能判斷請求是否是用戶發(fā)起或者是用戶授權(quán)的。所以當用戶瀏覽了惡意網(wǎng)站之后，惡意網(wǎng)站就可以給服務器發(fā)起帶有命令的請求，嘗試改變服務器中的數(shù)據(jù)值。

CSRF的攻擊對象也就是我們要保護的對象。CSRF利用的是授權(quán)瀏覽器向目標網(wǎng)站服務器發(fā)送任何請求時，都會自動帶上會話ID或者cookie進行身份驗證。但是由于瀏覽器同源策略的限制，惡意網(wǎng)站無法看到目標網(wǎng)站的cookie或者回話ID，也沒有辦法解析返回的內(nèi)容，所以惡意所能做的就是給服務器發(fā)送請求，以執(zhí)行請求中所描述的命令，在服務器端直接改變數(shù)據(jù)的值，而非竊取服務器中的數(shù)據(jù)

利用天生具有跨域能力的標簽--