问在DRUPAL中，CONFRIMATION页面的意义是什么？

EN

这是关于跨站点请求伪造(CSRF or XSRF)。作为一名web开发人员，我肯定知道这个词，但不知道它与“确认页面”的链接。

什么是跨站点请求Forgery(CSRF or XSRF)**?**

CSRF是一种攻击，它强制最终用户(经过身份验证的用户)执行某些操作，而不是他的意愿。

攻击的Drupal场景

大多数Drupal站点都有通过Webform实现的反馈表单。作为一种默认行为，Webform也将反馈表单提交到电子邮件中。

1. 攻击者可以通过添加带有href参数的链接作为[http://www.examplesite.com/node/3/delete?destination=admin/content]来欺骗此消息。
2. 现在，经过身份验证的用户可以单击消息中的链接，而不知道href [http://www.examplesite.com/node/3/delete?destination=admin/content]的操作敏感性。
3. 当用户意识到攻击链接已经被点击时，恢复操作已经太晚了，因为节点/4已经被删除，并显示了admin/content页面。

CSRF Drupal的预防方法

1. Drupal将一个秘密令牌值与每个操作相关联。--我们可以在Drupal中找到form_token作为一个隐藏字段。
2. 每当任何操作(例如删除节点/s)发送到浏览器时，drupal站点也将向浏览器发送相关的令牌值。
3. 这个标记的重要性--只有用户和站点才知道这一点。攻击者很难欺骗吸币。
4. 每当浏览器向站点发送任何请求时，Drupal都会根据操作验证令牌，然后只执行所需的操作。
5. 如果此Action + Token验证失败，则将拒绝操作。