面试取经：网络篇-CSRF攻击

CSRF攻击

Cross-site request forgery，跨站请求伪造。指攻击者利用用户的身份信息，执行了非用户本意的操作

具体是首先引导用户访问一个危险的网站，当用户访问网站后，网站会发送请求到被攻击的站点，这次请求会携带用户的cookie，因此就利用了用户的身份信息完成了攻击

防御方式

• 不使用cookie
• cookie中使用sameSite字段
• 为表单添加校验的token校验
• 服务器检查referer字段