谌启梁

csrf能防御的本质是，黑客虽然携带了合法的cookie，但是他不知道带了什么，也没有跨域权限读取网页的任何信息，而网站可以。 1. 判断请求来源 3.重复携带token验证，提交请求时前端取到token（可放在页面中或cookie中），后台只需要对比提交的参数和cookie中…