跨站请求伪造CSRF

是什么

是指在你登录了A网站的用户信息后，且登录信息还未失效的情况下，打开其他网站，发起A网站的请求，这个时候发起的请求会自动带上cookie，服务器接收的时候会认为是正常的请求

 

为什么同源政策不能防御csrf

1，可以使用html标签来发送请求，完全可以不使用ajax，比如img

2，同源策略是拦截请求结果，而不是拦截发送

 

• http请求，会自动携带Cookie。
• 携带的cookie，还是http请求所在域名的cookie。

 

如何防御

1，get请求不参与数据修改

2，使用token