[Day13] 补充说明 – csrf

今天要来补充一下Day9 – views有说明到的csrf，虽然这些东西某某百科都有，那我会特别补充的原因，是因为这些东西，今天即使不是使用Django这个网页应用框架，只要未来会接触到网页的部分，可能都还是会遇到，所以这边我还是跟大家简单介绍一下。

csrf：全名Cross-site request forgery，我们把每个单字拆开来看cross(翻越、通过)、site(地点、位置)、request(请求、要求)、forgery(伪造品、伪造)，这里我分享这种学习每个单字的方式来理解，既可以学习单字，也可以了解整个名称的意涵，希望不适应的夥伴们见谅，我会用这种方式，是因为我觉得很多东西可以去感受一下他原文的说明而不是翻译，某某百科中译是跨站请求伪造，我觉得很好也没错，可是我觉得把单字意思弄懂，有时候会比翻译能够更懂得他的原意。

翻译了这麽多，csrf就是有人从非使用者的位置(Cross-site)，伪造(forgery)了使用者的请求(request)，用现实来比喻就好像大学点名帮忙代点，同学A帮同学B点名，就是你伪造了同学B在教室的讯息给教授，教授以为你是同学B，实际上你是同学A，这里不讨论特殊的状况(脸、身体特徵)等。

那这样会产生什麽样的问题，教授以为我是同学A，如果我不开心我就乱讲话、打教授一拳就跑，反正教授以为是同学A，再简单来说就是别人装成是你，听起来应该不是甚麽好事情，那我们要怎麽预防呢?

这时候我们就会产生一个通关密语(token)，那token是甚麽呢，夥伴们别急~~ 我们今天先聊聊csrf ，过几天我在帮你们补充，简单来说就是，今天当我认识一个人，我们第一聊天的时候约定一个通关密语，没有人知道的通关密语只有我们两个人知道，作为我传递讯息(request)的一个依据，约好以後在传递讯息的时候都会夹带着这个独一无二的通关密语，这样对方就可以确认是不是本人了。

画了一张简陋的示意图，希望能够帮助大家理解，然後眼睛不会痛，会痛的要原谅我，那今天补充就先到这里啦~~