js----CSRF-跨站请求伪造攻击

一.CSRF是什么？

　CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

二.CSRF可以做什么？

　你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。
CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......造成的问题包括：个人隐私泄露以及财产安全。

三.CSRF的原理

　　下图简单阐述了CSRF攻击的思想：

四.CSRF的防御

　　

CSRF的防御可以从服务端和客户端两方面着手，防御效果是从服务端着手效果比较好，现在一般的CSRF防御也都在服务端进行。

• 通过token 或者 验证码 来检测用户提交
• 尽量不要在页面的链接中暴露用户隐私信息
• 对于用户修改删除等操作最好都使用post 操作 。
• 避免全站通用的cookie，严格设置cookie的域。