关于CSRF

Cross Site Request Forgery 跨站请求伪造

当用户访问恶意网站时，恶意网站可以通过链接跳转的方式，引导用户访问被攻击网站，
因为用户可能最近刚刚访问过被攻击网站，浏览器携带其缓存的合法cookie让用户访问，
cookie中保存了客户的认证信息，用户从而不需要重新认证。

此过程实际上是恶意网站假借用户的真实身份，实现恶意的意图。

防范的策略如下：

• 通过对Referer可以实现这种跨域的跳转检测，但是因为Referer字段是在浏览器段填入，此字段可以被篡改。
• 通过添加无关cookie的方式，在服务器端验证，因为跳转的请求没法包含cookie信息，被视为无效访问。

关于Referer

HTTP请求头字段 Refer标识着该请求是从哪来的，也就是引起该请求的上一个请求连接，其内容是上一个请求的url完整路径。

在有些网站的设计中，该字段被用来防盗链，即网站会检测该字段内容，并依据url中的domain信息判断是否给予返回，通常网站仅仅允许url domain为本网站domain的才正常回复。
该字段可以为空，也就是没有Referrer，直接在浏览器中输入网址来访问网站。

该字段是由浏览器在发起请求时填入，可以选择不带referer。通过不同的referer policy控制。