跨站請求偽造（英語：Cross-site request forgery），也被稱為 one-click attack 或者 session riding，通常縮寫為 CSRF 或者 XSRF， 是一種挾制用戶在當前已登錄的 Web 應用程序上執行非本意的操作的攻擊方法。 <br/> 跟跨網站腳本（XSS）相比，XSS利用的是用戶對指定網站的信任，CSRF 利用的是網站對用戶網頁瀏覽器的信任。 <br/> 跨站請求攻擊，簡單地說，是攻擊者通過一些技術手段欺騙用戶的瀏覽器去訪問一個自己曾經認證過的網站并運行一些操作（如發郵件，發消息，甚至財產操作如轉賬和購買商品）。由于瀏覽器曾經認證過，所以被訪問的網站會認為是真正的用戶操作而去運行。 <br/> 這利用了 web 中用戶身份驗證的一個漏洞：簡單的身份驗證只能保證請求發自某個用戶的瀏覽器，卻不能保證請求本身是用戶自愿發出的。 <br/> 從 Spring Security 4.0 開始，默認情況下會啟用 CSRF 保護，以防止 CSRF 攻擊應用程序，Spring Security CSRF 會針對 PATCH，POST，PUT 和 DELETE 方法進行防護。