From 90d414fdb599fa37c00a4c31b62def368db10155 Mon Sep 17 00:00:00 2001 From: kwongtai Date: Sun, 1 Apr 2018 10:32:04 +0800 Subject: [PATCH] update HTTP.md --- notes/HTTP.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/notes/HTTP.md b/notes/HTTP.md index 5169b74f..59b31eea 100644 --- a/notes/HTTP.md +++ b/notes/HTTP.md @@ -627,7 +627,7 @@ SSL 提供报文摘要功能来验证完整性。 ### 1. 概念 -(Cross-site request forgery,CSRF),是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了 Web 中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 +跨站点请求伪造(Cross-site request forgery,CSRF),是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了 Web 中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。