XSRF 又名 CSRF, 跨站请求伪造,它是前端一种很常见的攻击方式,我们先通过一张图来认识它的攻击
CSRF的防御手段有很多,比如验证请求的referer,但是referer也是可以伪造的,所以杜绝此类攻击的一种方式是服务端要求每次请求都包含一个token,这个token不是前端生成的,而是在我们每次访问站点的时候生成的,并通过set-cookie的方式种到客户端,然后客户端发送请求的时候,从cookie种对应的字段读取出token然后添加到headers中。这样服务端就可以从请求headers中读到这个token并验证,由于这个token是很难伪造的,所以就能区分这个请求是否是用户正常发起的
