## **跨站點請求偽造(CSRF)**
跨站請求偽造(Cross-site request forgery,簡稱 CSRF), 是一種挾制用戶在當前已登錄的 Web 應用程序上執行非本意的操作的攻擊方法
#### [](https://gitee.com/shanghai-leisurely-network_0/PHP-Interview-QA/blob/master/docs/08.%E5%AE%89%E5%85%A8/QA.md#csrf-%E7%A4%BA%E4%BE%8B)CSRF 示例
* 在私有域構造頁面P
> [https://blog.maplemark.cn/csrf.html](https://blog.maplemark.cn/csrf.html)
其內容為
~~~
<!--僅用于演示,假設該點贊為 GET-->
<img src="https://segmentfault.com/api/article/1190000019050946/like?_=0faa0315ff95872d8b0f8da02e343ac7">
~~~
* 誘使目標用戶訪問頁面P
如果你已經訪問過 SF 網站,并且已經登錄。可以看到在訪問頁面P之后,已經對 SF 文章進行點贊了
#### CSRF 防御
* 增加驗證碼(簡單有效)
* 檢查請求來源是否合法
* 增加隨機 token
- PHP篇
- 函數傳值和傳引用的區別
- 簡述PHP的垃圾回收機制
- 簡述CGI、FAST-CGI、PHP-FPM的關系
- 常見正則表達式
- 多進程寫文件,如何保證都寫成功
- php支持回調函數的數組函數
- MySQL篇
- MySQL的兩種存儲引擎區別
- 事務的四大特性
- 數據庫事務隔離級別
- 什么是索引
- 索引有哪些數據結構,優缺點
- 索引的一些潛規則
- SQL的優化方案
- 簡述MySQL的鎖機制
- 死鎖是怎么產生的?怎么解決?
- 簡述MySQL的主從復制過程,延遲問題怎么解決
- 分布式事務的解決方案
- 數據庫中間件MyCat
- Linux篇
- Linux常用命令
- 對日志文件的IP出現的次數進行統計,并顯示次數最多的前5名
- WEB篇
- 跨域是怎么產生的,如何解決跨域
- Redis篇
- redis介紹
- redis和memcached區別
- redis的持久化方案
- 緩存穿透、擊穿、雪崩、預熱、更新、降級
- 網絡篇
- 計算機網絡體系結構
- 簡述TCP的三次握手、四次揮手過程
- UDP、TCP 區別,適用場景
- HTTP常見狀態碼含義
- 設計模式篇
- 單例模式
- 簡單工廠模式
- 抽象工廠模式
- 觀察者模式
- 策略模式
- 注冊模式
- 適配器模式
- 安全篇
- 跨站腳本攻擊(XSS)
- 跨站點請求偽造(CSRF)
- SQL 注入
- 應用層拒絕服務攻擊
- PHP安全
- 運維篇
- docker面試題
- 消息隊列篇
- 架構篇
- 數據結構與算法篇