CSRF原理:你访问其它网站,该网站拿你其它网站的cookie出来,伪造请求给你的其它网站,获取你在其它网站的信息。
防止:
方法一:存入LocalStorage里面,每次请求带上
方法二:token存入cookie中,在请求的时候取出来放入请求头中,因为黑客无法直接取cookie内的值,所以加入请求头请求给后端即可
方法三:加入验证码机制,后端响应验证码,比如黑客在进行登录时由于无法获取到验证码,故而无法请求成功,遏制了csrf
共同设置:
1、做Referer的源校验,设置域的白名单,保证是前端域发来的,不是其它网站发来的
2、用cookie的话给cookie做domain的域限制,防止其它域访问cookie的