CSRF(Cross-site request forgery)中⽂翻譯成「跨站請求偽造」。通常 CSRF 攻
擊的⽬的不⼀定是直接獲取使⽤者帳⼾的控制權或個資,但可以⽤其它使⽤者的名
義執⾏某些操作。
舉個例⼦來說,假設我想攻擊某個 Blog 平台,我可能可以猜到後台的路徑,例如對
/admin/posts/2 路徑使⽤ DELETE ⽅法,就可以刪除編號 2 號的⽂章。雖然我
沒有這個網站後台的使⽤權限,但我知道 A 先⽣有,所以我就假裝寄⼀封「恭喜
你,你得到了最新的 iphone 8 ⼿機」的 Email 給 A 先⽣,但事實上這個得獎的連結
點下去就是會對 /admin/posts/2 網址發送 DELETE ,⼜剛好 A 先⽣如果處於登
入狀態,那篇⽂章就藉由 A 先⽣的權限被刪除了!
[為你自己學Ruby on Rails]https://railsbook.tw/chapters/08-ruby-basic-4.html
iThome鐵人賽
看影片追技術