CSRF跨站请求伪造

 一：CSRF攻击是基于浏览器方式运作的。在登录到一个站点后，信息将以cookie的形式存储到浏览器中，可能是存储在内存中的cookie，也可能是存储到硬盘中的更为持久的cookie，通过这2中cookie的任意一种，浏览器会告诉站点这是一个真实的用户发出的请求。

 二： 阻止CSRF跨站请求伪造

    ①令牌验证。 在页面上添加  @Html.AntiForgeryToken()，它会输出一个加密之作为隐藏的输入元素。把它存入cookie中 “__RequestVerificationToken”，然后再方法上验证

[ValidateAntiForgeryToken] 
public string Get(){....}

   ②HttpReferrer验证，查看提交请求的Url是否来之目标站点