CSRF:跨站请求伪造,伪造与认证
CSRF成因
浏览器储存cookie机制,不同站点的cookie同时存在于多个标签页中,恶意网站发送的请求会附上站点的本地 cookie。
浏览器cookie差异
默认拦截第三方cookie:IE6、IE7、IE8、Safari;
不会拦截:Firefox2、Firefox3、Goole Chrome、Android等
P3P头使得浏览器允许发送第三方cookie
CSRF防御
验证码、Referer Check、Token(二次验证,不可预测)