csrf 借刀杀人

思考：伏地魔是怎么在《哈利·波特与密室》 中是怎么搞事儿的？

csrf介绍

Cross-site request forgery（跨站请求伪造）

原理

小白在一个csgo的交易平台里面经常交易手套，因为他的远见卓识，通过交易手套（cookie 验证交易接口），小赚了一笔。

这时，烂仔盯上了他，在他 低价批量 买入手套的时候 ，通过给他发 烂仔自己构造的 劲爆图片网站，成功把他的手套全部转到了烂仔的户头上。

这中间 因为 浏览器 保存了 小白的cookie ，而烂仔自己的网站访问了 交易接口 导致小白的手套 白送给了 烂仔。

待到手套涨价时，小白苦兮兮，烂仔笑嘻嘻~

csrf 防御

1. 尽量使用post请求（多整几个参数，让hacker看不懂）
2. 加入验证码 （过程整复杂点，看你怎么构造）
3. 验证referer （你的上一步也会被我看穿哦）
4. Anti CSRF Token（高优，老子生成一个token，看你啷个偷）
5. 加入自定义Header（老子自定义，你莫法了撒哈哈）

总结：伏地魔通过里德尔的日记，一步步引导别人，利用别人做本不可能做的事，到处搞事，我觉得这就是CSRF 之道，借刀杀人。