Php 会话固定与XSRF/CSRF

什么分别定义了两者

会话固定被描述为：

会话固定是一种允许攻击者劫持有效用户会话的攻击。该攻击探究了web应用程序管理会话ID（更具体地说是易受攻击的web应用程序）的方式的限制`

资料来源：

这似乎与CSRF所利用的非常接近。这两者之间的区别是什么，或者

会话固定

仅仅是来自CSRF的同义词或分支

---

我还想提到的是，我提供的OWASP链接中的关键术语与CSRF中提到的几乎相同。不，它不是同义词。会话固定和CSRF是两种不同的攻击

会话固定是会话劫持的一种。攻击者试图窃取、猜测或修复会话id，然后使用它并作为受害者登录到目标网站。这可以通过多种方式实现。如果应用程序使用httpOnly标志，不传输url中的会话id（session.use_trans_sid=0，session.use_only_cookies=1），并且注意XSS漏洞，则可以提供基本保护

CSRF是另一种攻击。攻击者不需要受害者会话id，而是导致受害者在受害者正确登录的服务器上执行操作。因此，受害者自己执行恶意操作，但并不知道。怎么用？受害者加载包含html中恶意链接的页面（即img src）或目标网站包含XSS漏洞，这是加载外部恶意javascript和发出ajax请求的好时机

标准保护是CSRF令牌。它是每个敏感请求中包含的另一个令牌（会话id的下一个）。攻击者不应该知道特定用户的当前CSRF令牌，也不能准备恶意链接或ajax请求。CSRF令牌对于每个会话都应该是唯一的。敏感请求是表单提交、删除/设置内容（权限等）。所以应用程序不必绝对保护每个请求。在URL中传输CSRF令牌也不是一个好主意