跨站请求伪造

跨站请求伪造（英语：Cross-site request forgery）， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。

 

防止方法：
1，利用referer判断，
但是用户有可能设置浏览器使其在发送请求时不提供 Referer，这样的用户也将不能访问网站。
2，在请求中添加 token 并验证
关键在于在请求中放入黑客所不能伪造的信息，并且该信息不存在于 cookie 之中，
可以在服务器端生成一个随机码，然后放在form的hidden元素中，form提交的时候在服务器端检查。