58金融的CSRF防御实践

58 金融的 CSRF 防御实践

摘要

Web端的跨站点请求伪造(Cross Site Request Forgery)攻击，简称CSRF攻击，存在巨大的危害性。CSRF里，攻击者借用了受害者的身份对服务器发送请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作：危害小的如以受害者的名义发帖子，危害大的可以冒用受害者的账号下单甚至转账。