CSRF(Cross-site request forgery)跨站请求伪造
主角:用户(浏览器),正常网站,恶意网站
过程:1.用户通过浏览器打开正常网站,并登录;
2.正常网站web服务器给用户发来cookie,保存在用户的浏览器;
3.用户在没有退出登录且没有关闭网页且会话没有超时的情况下,访问了恶意网站
4.用户获取并触发了恶意网站的恶意代码,而用户可能并没有察觉
5.恶意代码通过用户的浏览器带着用户的cookie访问正常网站,实现了恶意操作。
*自始至终,恶意网站都没有拿到和看到用户的cookie,它只是利用了用户的cookie,跳过正常网站的登录验证。
原文:https://www.cnblogs.com/sunmingduo/p/9916959.html