CSRF(Cross-site request forgery跨站請求偽造，也被稱成為“one click attack”或者session riding。

例A：

針對某個人進(jìn)行CSRF POST攻擊,需要誘導(dǎo)用戶點(diǎn)擊所以稱 one click attack

首先假定有2個用戶，分別為 A用戶 和 B用戶

A用戶申請的ID為1 ，B用戶申請的ID為2

A用戶修改個人資料的URL假設(shè)為：http://www.xxx.com/userinfo.php?id=1

POST參數(shù)為name

如果A用戶知道B用戶ID為2且A用戶通過修改ID不能訪問到B用戶的時候，可以進(jìn)行CSRF攻擊

首先建個頁面，頁面代碼如下：

別人只要點(diǎn)擊鏈接，即可觸發(fā)漏洞

接著講CSRF GET 攻擊

也用例子說明(該例子來自烏云YKS )

新浪SAE普通開發(fā)者認(rèn)證CSRF

1.在邀請鏈接后面加上&makesure=1，然后到新浪開發(fā)者論壇回復(fù)插入下面的代碼，別人在登陸了SAE的情況下打開有該代碼的帖子會自動邀請指定用戶。

只要查看該頁面，即可自動邀請指定用戶，是不是對于CSRF有了不同的認(rèn)識了??？