csrf(Cross Site Request Forgery)跨站请求伪造
csrf攻击能够实现依赖于这样一个简单的事实:
用户在浏览器打开多个浏览器页签,假如用户登录一个站点A,站点A通过cookie来跟踪用户的回话,
假如站点A的一个页面siteA-page.php被站点B知道了,而这个页面的地址以某种方式潜入到了B站点
的一个页面siteB-page.php中,如果这是用户在保持A站点回话的同时打开了B站点的siteB-page.php,
那么只要siteB-page.php页面可以触发这个url地址(请求A站点的url资源),就实现了csrf攻击。
防范:
form表单增加token验证或者验证码或者检验Referer