Ruby on Rails CSRF 攻击是什麽？

CSRF（Cross-site request forgery）中⽂翻译成「跨站请求伪造」。通常 CSRF 攻
击的⽬的不⼀定是直接获取使⽤者帐⼾的控制权或个资，但可以⽤其它使⽤者的名
义执⾏某些操作。
举个例⼦来说，假设我想攻击某个 Blog 平台，我可能可以猜到後台的路径，例如对
/admin/posts/2 路径使⽤ DELETE ⽅法，就可以删除编号 2 号的⽂章。虽然我
没有这个网站後台的使⽤权限，但我知道 A 先⽣有，所以我就假装寄⼀封「恭喜
你，你得到了最新的 iphone 8 ⼿机」的 Email 给 A 先⽣，但事实上这个得奖的连结
点下去就是会对 /admin/posts/2 网址发送 DELETE ，⼜刚好 A 先⽣如果处於登
入状态，那篇⽂章就藉由 A 先⽣的权限被删除了！

参考资料

[为你自己学Ruby on Rails]https://railsbook.tw/chapters/08-ruby-basic-4.html