CSRF 跨站请求伪造

CSRF的基本概念、缩写、全称

CSRF(Cross-site request forgery)：跨站请求伪造。

CSRF的攻击原理

同源策略的概念和具体限制

同源策略：限制 从一个源加载的文档或脚本 如何与 来自另一个源的资源 进行交互。这是一个用于隔离潜在恶意文件的关键的安全机制。（来自MDN官方的解释）

具体解释：

• 源包括三个部分：协议、域名、端口。如果有任何一个部分不同，则源不同，那就是跨域了。
• 限制：这个源的文档没有权利去操作另一个源的文档。这个限制体现在：
  • Cookie、LocalStorage和IndexDB无法获取。
  • 无法获取和操作DOM。
  • 不能发送Ajax请求。我们要注意，Ajax只适合同源的通信。