解釋 CSRF

跨站請求偽造 (CSRF/XSRF) 是一種利用用戶權限劫持會話的攻擊。這種攻擊策略允許攻擊者通過誘騙用戶以攻擊者的名義提交惡意請求，從而繞過我們的安全措施。

CSRF 攻擊之所以可能發生，是因為兩個原因。首先，CSRF 攻擊利用了用戶無法辨別看似合法的 HTML 元素是否包含惡意代碼這一特性。其次，由于這些攻擊來自合法用戶，因此保護機制不適用。這使得惡意攻擊者能夠欺騙用戶，從而損害自身利益。

更重要的是，惡意攻擊者能夠掩蓋 HTML 元素，并可以通過聊天或電子郵件等途徑利用社交工程手段造成嚴重影響。此外，這些漏洞似乎來自普通用戶的信任來源，劫持了他們對日常所依賴系統的信任。

CSRF攻擊

為了更準確地說明跨站點請求偽造攻擊如何劫持系統，讓我們來探討以下示例。

一位用戶收到一封看似來自可靠來源的電子郵件。假設攻擊者模仿了銀行機構的形象，并設法將郵件偽裝成合法郵件。受害者，也就是我們這位不懂技術的阿姨，看到了這封郵件，郵件內容是她急需點擊郵件中提供的鏈接，查看銀行已標記為可疑的一筆異常交易。

阿姨趕緊照做了，沒有核實鏈接來源的真實性就點擊了，然后就被帶到了銀行網站。這個網站合法合規，沒有任何惡意操作的跡象。它甚至顯示為安全，網址也與網站信息相符。然后，她要么丟棄郵件，要么打電話給銀行。

現在，可能發生的情況多種多樣。例如，當我