①(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,并且攻击方式几乎相左。XSS 利用站点内的信任用户,而 CSRF 则通过伪装来自受信任用户的请求来利用受信任的网站。与 XSS 攻击相比,CSRF 攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比 XSS 更具危险性;
②要完成一次 CSRF 攻击,受害者必须依次完成两个步骤:
1、登录受信任网站 A,并在本地生成 Cookie;
2、在不登出 A 的情况下,访问危险网站 B;
③防御策略:
1、验证 HTTP Referer 字段;
2、在请求地址中添加 token 并验证;
3、在 HTTP 头中自定义属性并验证;
(参考:www.jianshu.com/p/7f33f9c79…)
