各位大佬,我想知道CSRF到底是得到了用户的cookie进行请求伪造,还是利用黑客网站的恶意脚本向信任网站发送请求呢?(就是黑客网站其实是得不到用户cookie的具体信息吗?)
不想需要获得任何信息,只是让用户无意之间触发一个跨域请求而已。
用户点击之后,发出的跨域请求,浏览器会完善请求的信息,如果请求里面需要加上令牌或者个人信息等东西,浏览器就会加上。