跨站请求伪造

（Cross-Site Request Forgery，CSRF），也被称为一次性令牌（One-Time Token）、会话重播或跨站请求伪造攻击，是一种常见的安全漏洞，存在于Web应用程序中。

CSRF攻击利用用户已经通过认证的会话来执行未经授权的操作，攻击者会在恶意网站上注入自己的恶意代码，当用户浏览恶意网站时，该代码会悄悄地发起跨站请求，向目标网站发送伪造的请求。由于用户的浏览器会自动携带已登录网站的认证信息（如Cookie），目标网站无法区分正常请求和恶意请求，从而执行了攻击者所期望的操作。

为了防止CSRF攻击，开发者可以采取以下措施：

1. 验证来源：在服务器端验证请求的来源是否合法，可以使用Referer头、自定义头部或者Token进行验证。只接受来自信任网站的请求，拒绝来自其他网站的请求。
2. 添加随机令牌：在每次请求中添加一个随机生成的令牌，并将该令牌与用户的会话相关联。在提交请求时，要求将该令牌一同发送，服务器端校验该令牌的合法性，如果不匹配则拒绝请求。
3. 敏感操作需要二次验证：对于一些敏感操作，如修改密码、删除账户等，要求用户再次输入密码或进行其他身份验证，增加安全性。
4. 合理设置Cookie属性：通过设置Cookie的"SameSite"属性为"Strict"或"Lax"，可以限制Cookie只能在同一站点发送，从而减少CSRF攻击的风险。

腾讯云提供了一系列安全产品和服务，可帮助用户防御和检测CSRF攻击，具体推荐如下：

1. Web应用防火墙（WAF）：提供Web应用程序层的防护，能够识别和拦截CSRF攻击，有效保护网站安全。
2. 安全加速产品：通过安全加速，阻止恶意请求到达源服务器，包括CSRF攻击请求。
3. 云安全中心：提供安全态势感知、漏洞扫描等功能，及时发现并修复Web应用程序中的漏洞，防止被攻击。

参考链接：

1. 腾讯云Web应用防火墙（WAF）产品介绍：https://cloud.tencent.com/product/waf
2. 腾讯云安全加速产品介绍：https://cloud.tencent.com/product/cdd
3. 腾讯云云安全中心产品介绍：https://cloud.tencent.com/product/ssc