# 定義:
指惡意用戶將某些需要他人權限的接口埋藏在自己的腳本中,將腳本利用XSS相同的注入方式或誘導用戶點擊執行等方式令擁有權限者執行,從而達到自己的目的。
CSRF(Cross-site request forgery),跨站請求偽造。和XSS比較相似,但又不盡相同,XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。說白了,就是攻擊者惡意構造了網站的某些操作,引誘用戶去點擊,從而在用戶不知情的情況下做一些操作(攻擊者盜用了你的身份,以你的名義發送惡意請求)。比如嚴重的有修改用戶密碼,管理員密碼、添加管理員,甚至是轉賬等重要操作,一般的就很多了,比如修改用戶信息、更改購物車、不知不覺改了你的收貨地址……