LUV_ly_1314的博客

跨站请求伪造也被称为one-click attack 或者 session riding，通常缩写为CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。目前主流的防御方法就是通过Token验证，另外如果前端对存在CSRF防御的服务进行请求，会出现”400 bad request“。在写程序时有时候会让忽略CSRF问题的人莫名其妙，我就是错了好几次（我以为是我的数据格式的问题），看到了浏览器Console才恍然大悟。