寄语:问题比答案更重要
建议自己先有个思考的过程,有了自己的答案或者疑问再看解析进行对比。
目前解析在逐步添加中,也可以跳转链接查看。
受害者登录 http://a.com ,并保留了登录凭证(Cookie) 攻击者引诱受害者访问了 http://b.com http://b.com 发送了一个请求: http://a.com/act=xx 。浏览器会默认携带 http://a.com 的Cookie。 http://a.com 接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。 http://a.com 以受害者的名义执行了act=xx。 攻击完成,攻击者在受害者不知情的情况下冒充受害者,让 http://a.com 执行了自己定义的操作。
自动发起 GET 请求的 CSRF
自动发起 POST 请求的 CSRF
引诱用户点击链接的 CSRF
点这里看 原文
解析或答案仅供参考。