csrf攻击防范的方法（csrf攻击原理与解决技巧）

说到CSRF很多小应该很清楚了，不清楚也没关系，我们下面就来探讨一下。跨站请求伪造(英语：Cross-site request forgery)，也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。以上内容来自百度百科那么接下来我们详细讨论一下跨站请求伪造：跨站请求攻击，简单地说，是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件，发消息，甚财产操作如转账和购买商品)。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞：简单的身份验证只能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的。理解 CSRF 攻击的最好方法是看一个具体的例子。假设您的银行网站提供了一个表单，允许将资金从当前登录的用户转移到另一个银行账户。例如，转账表格可能如下所示：相应的 HTTP 请求可能如下所示：传输 HTTP 请求POST /传输 HTTP/1.1主机：bank.exampl网站站点" rel="nofollow" />