码农日记

CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。在不少的php框架中都有防csrf攻击的方法，比如yii2.0，建议在开发的时候尽量不要全局关闭。你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，转账，付款攻击原理图：一次攻击的两个步骤：       1.