了解跨站请求伪造CSRF

参考以下两篇文章：

https://www.cnblogs.com/Erik_Xu/p/5481441.html

https://www.cnblogs.com/4littleProgrammer/p/5089958.html

总结为我能理解的话，就是：

H（黑客网站）隐藏对A（被攻击的网站）的请求，当用户在H网站操作时，H网站偷偷的向A网站发起请求（攻击），而用户正好在浏览器中访问过A网站，所以留下了身份验证等重要的cookie信息。

所以H网站偷偷向A网站发送请求的时候，正好利用了这个cookie（cookie随请求提交到服务器），所以就伪造成功了。

防范措施中：

（1）请求头中有Referer参数，是发送请求的网站的域名。所以服务器可以根据这个验证，看是不是安全网站发送过来的请求。

(⊙o⊙)…

 

其他解决方法可参考https://www.imooc.com/article/13552