什么是CSRF攻击

CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

ajax请求安全防护

可以采用如下方式

1. 要求通过 SSL 访问能够被 Ajax 访问的资源。
2. 要求每个请求都发送一个按约定算法计算好的令牌（token）。
3. 设置token过期时间.

以下手段对防护 CSRF 攻击是无效的

1. 要求 POST 而非 GET 请求（很容易修改请求方法）。
2. 使用来源 URL 验证来源（来源 URL 很容易伪造）。
3. 基于 cookie 验证（同样很容易伪造）。