update HTTP.md

2018-04-01 10:32:04 +08:00 · 2018-04-01 10:32:04 +08:00 · 90d414fdb5
commit 90d414fdb5
parent 11003c11eb
1 changed files with 1 additions and 1 deletions
--- a/notes/HTTP.md
+++ b/notes/HTTP.md
@ -627,7 +627,7 @@ SSL 提供报文摘要功能来验证完整性。

 ### 1. 概念

-（Cross-site request forgery，CSRF），是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作（如发邮件，发消息，甚至财产操作如转账和购买商品）。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去执行。这利用了 Web 中用户身份验证的一个漏洞：简单的身份验证只能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的。
+跨站点请求伪造（Cross-site request forgery，CSRF），是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作（如发邮件，发消息，甚至财产操作如转账和购买商品）。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去执行。这利用了 Web 中用户身份验证的一个漏洞：简单的身份验证只能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的。

 XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。