能攻击成功的本质:重要操作的所有参数都是可以被攻击者猜测到的 一、攻击方式 : 1.浏览器的COOKIE策略:有些浏览器对跨域请求另一个域名“本地COOKIE”没有限制 2.P3P头策略:请求a.com返回给浏览器信息头部允许发送“本地COOKIE”给其它域 3.CSRF蠕虫 二、如何预防CSRF: 1.参数加密:MD5+盐值 缺点:如果全部都加密,则用户的收藏的网址URL会失效 2.使用token:必须不可预测行,随机;可以放在用户的session中,或者cookie;