1. 術語表
  2. 跨站請求偽造 (CSRF)

跨站請求偽造 (CSRF)

跨站請求偽造 (CSRF) 攻擊中,攻擊者會誘騙瀏覽器從惡意網站向目標網站發起 HTTP 請求。該請求包含使用者的憑證,並導致伺服器在以為使用者有意為之的情況下執行某些有害操作。

如果網站出現以下情況,則可能發生 CSRF 攻擊:

  • 使用 HTTP 請求更改伺服器上的某些狀態
  • 僅使用 cookie 來驗證請求是否來自已認證的使用者
  • 僅使用攻擊者可以預測的請求中的引數

有幾種防禦 CSRF 攻擊的方法,包括 CSRF 令牌、使用 Fetch 元資料 來阻止某些跨站請求,以及為用於認證敏感請求的 cookie 設定 SameSite 屬性

另見

幫助改進 MDN

瞭解如何貢獻

此頁面最後修改於 ,由 MDN 貢獻者修改。

在 GitHub 上檢視此頁面報告此內容的問題
© . Content available under a Creative Commons license.