跨站点请求伪造（CSRF）

是什么？

  CSRF攻击指诱使用户访问伪造的页面，然后以该用户身份在第三方站点执行一次操作，CSRF攻击是利用用户身份操作用户账户的一种攻击方式。

怎么办？

验证码：CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求。验证码则强制用户必须与应用进行交互，才能完成最终请求。因此在通常情况下，验证码能够很好地遏制CSRF攻击，但该防御方式用户体验较差；

Referer Check防盗链：可以检测请求是否来自合法的“源”，如果请求不是来自合法“源”，则很可能发生了CSRF攻击，但服务器并不能在任何时候都能获取到Referer；

Token：使用真随机数或者经过密钥加密的字符串作为token值，使用方式可参考重放攻击防御中的token，该防御方式需要注意token的完全随机和有效期，一个经常无规则变动的token值往往是无法破解的。