CSRF

• CSRF介绍

概念

CSRF（Cross-site request forgery）跨站请求伪造 攻击者可以盗用你的登陆信息，以你的身份模拟发送各种请求 主要是因为Web的隐式身份验证机制，Web的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器，但却无法保证该请求是用户批准发送的。

攻击过程

1. 登录受信任网站A,并在本地生成cookie
2. 在不退出A的情况下,访问B网站

预防

1. 每次验证token(没受到XSS攻击有效)
2. 每次输入验证码(用户体验差)
3. 每次输入token+防重放攻击的唯一值
4. 验证请求头(Referer)