(1)将cookie 设置为HttpOnly
CRSF攻击很大程度上是利用了浏览器的cookie,为了防止站内的XSS漏洞盗取cookie,需要在cookie中设置HttpOnly属性。
这样通过程序就读取cookie信息。
(2)增加token
系统开发人员在HTTP请求中以参数的形式加入一个随机的token,并在服务端进行校验。如果没有token或者是token 不正确,则拒绝请求。
(3)通过referer识别
根据http协议,在http头部有一个字段叫referer,它记录了该http请求的来源地址。