5.跨站請求偽造

跨站請求偽造（Cross Site Request Forgery，CSRF），是一種允許攻擊者通過受害者發送任意HTTP請求的一類攻擊方法，尤其是攻擊者迫使已登錄Web應用程序的合法使用者執行惡意的HTTP指令，而Web應用程序卻當成合法請求處理，使得攻擊者的惡意指令被正常執行。

在跨站請求偽造中，受害者通常是一個不知情的同謀，所有的偽造請求都由他發起，而不是攻擊者。這樣，Web應用就很難確定哪些請求是屬于跨站請求偽造攻擊。利用跨站偽造請求，攻擊者能讓受害用戶修改該受害用戶允許修改的任何數據，或者是執行該受害用戶被授權使用的任何功能。