CSRF(跨站请求伪造攻击)

CSRF的几种攻击方式：
 1.HTML CSRF:通过HTML发送GET请求
 2.JSON HiJacking:构造自定义的回调函数
 3.Flash CSRF:通过Flash来实现跨域请求

CSRF攻击跨站请求伪造。
本质：重要操作的所有参数都是可以被攻击者猜测到的。攻击者预测出URL的所有参数与参数值，才能成功地构造一个伪造的请求。

csrf攻击：
 1.诱使用户点击恶意链接，致使数据删除
 2. 获取登陆者的cookie, 通过用户点击链接请求获取（只针对于火狐浏览器）cookie分为两种：一种是“Session Cookie”，又称“临时 Cookie”；另一种是“Third-party Cookie”，也称为“本地 Cookie”。Session Cookie 保存在浏览器进程的内存空间中；而 Third-party Cookie 则保存在本地。
 3.header 头允许跨域访问隐私数据，从而可以跨域 Set-Cookie 成功。

预防 CSRF
 CSRF 的防御可以从服务端和客户端两方面着手，防御效果是从服务端着手效果比较好，现在一般的 CSRF 防御也都在服务端进行。服务端的预防 CSRF 攻击的方式方法有多种，但思路上都是差不多的，主要从以下两个方面入手 :
 1 . 正确使用 GET，POST 请求和 cookie
 2 . 在非 GET 请求中增加 token

CSRF前端预防：
 get:常用在查看，列举，展示等不需要改变资源属性的时候（query）
 post:常用在From 表单提交，改变一个资源的属性或者其他一些事情的时候（insert、updata、delete）
除此之外，在非GET方式的请求中增加随机数：
 1.cookie token(没有XSS的情况下才安全)
 2.每个 POST 请求使用验证码，这个方案算是比较完美的，但是需要用户多次输入验证码，用户体验比较差，所以不适合在业务中大量运用。
 3.渲染表单的时候，为每一个表单包含一个 csrfToken，提交表单的时候，带上 csrfToken，然后在后端做 csrfToken 验证。