全文共213字，预计耗时64秒。

CSRF

什么是CSRF

跨站请求伪造 Cross Site Request Forgery 。利用用户已登录的身份，在用户不知情的情况下，以用户的名义完成非法操作。

原理

1. 登录受信任网站A, 并在本地生成cookie
2. 在不登出的情况下，访问危险网站B
3. B要求访问A，发出一个请求，这个请求会带上本地的cookie
4. 用户并不知道这个请求是B发出的，但浏览器会自动带上要访问的网站的cookie

防范手段

referer验证

判断页面的来源是否来自本站

验证码

最有效确认是否是用户自身行为

token令牌验证

因为token是加在头部的，而csrf伪造请求只会带上cookie

禁止第三方网站带cookie

有兼容性