CSRF : 打开同一浏览器时其他网站对本网站造成的影响,原理就是攻击者构造出一个后端请求地址,诱导用户点击或通过某些途径自动发起请求。如果用户在登录状态的话,后端就会以为是用户再进行操作,从而进行相应的逻辑。 CSRF防御: get请求不对数据进行修改不让第三方访问到用户的cookie阻止第三方网站请求接口请求时携带验证信息,比如验证码或者token可以对cookie设置same-set属性。该属性表示,cookie不随着跨域请求发送,可以很大程度上减少CSRF的攻击。