第4章　跨站请求伪造

当攻击者可以使目标对象浏览器发送HTTP请求到别的Web网站时，就会发生跨站请求伪造（CSRF）攻击。该Web网站会执行一些操作，使得请求看起来是有效的，并且发自目标对象。这种攻击一般依赖于目标对象之前已经通过了具有漏洞的网站的身份认证，并且攻击者向该网站发起的提交动作和网站的响应不被目标对象感知。当CSRF攻击成功时，攻击者就可以修改服务器端信息并很有可能完全接管用户的账号。这里有一个例子，我们来一步一步看一下：

1）Bob登录他的网银并查看余额。

2）Bob查看完余额后，登录不同域下的邮箱账号并查收邮件。

3）Bob看到了一封具有连接到不熟悉网站的链接的邮件，并打开了这个链接以查看相关内容。

4）当链接的网站内容加载时，该网站要求Bob的浏览器向Bob的网银发起一个HTTP请求，请求从Bob的账号转账资金到攻击者的账号。

5）Bob的网银接收到了不熟悉的（也是恶意的）网站发起的HTTP转账请求，但是由于网银没有任何CSRF防护机制，就处理了这次转账申请。