跨站请求伪造,黑客诱使用户访问自己的网址然后获取用户在某一网站上的cookie信息伪造成用户身份通过构造表单向目标网站发送请求进行操作。
防范方法
1.输入验证码
最简单暴力的方式,但是用户体验太差
2.验证http头部的Referer字段
黑客用CSRF的方法时,整个流程是在用户的浏览器中从黑客的地址发送请求到目标网址,因此Referer的内容就是黑 客的地址,所以只要验证referer的内容是固定某一域名下即可。
缺点:Referer的值是由浏览器提供的,某些浏览器的Referer可以被修改,且有些用户因为隐私问题会禁止浏览 器发送Referer。
3.生成token放在表单元素或http请求头自定义属性中并验证
csrf攻击是提前伪造已知的参数并通过cookie进行验证并发送请求,但不能获取cookie里面具体的值,所以可以生成 随机的token去验证来预防csrf,这个token是存储在session中,不会被黑客获取到。