CSRF/XSRF

CSRF意思是跨站请求伪造。就是通过伪造用户请求对服务器进行攻击，是一种对网站的恶意利用。

简单的说，是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作（如发邮件，甚至财产操作（如转账和购买商品）等）。

早期的网站用户和服务器的通信，是使用cookie进行认证的。攻击者可以通过完全伪造用户的请求，因为请求中所有的用户验证信息都是存在于cookie中的。

所以现在为抵御这一攻击，就是要让认证信息部分是无法被伪造，同时用户的关键信息(如密码等)是不能够被直接查看到的(一般是进行加密)。

现在采用的是JWT的方式(JSON Web Token)进行验证。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token，并在服务器端建立一个拦截器来验证这个 token，如果请求中没有token或者 token 内容不正确，则认为可能是 CSRF 攻击而拒绝该请求。这种方法要比检查 Referer 要安全一些，token 可以在用户登陆后产生并放于session之中，然后在每次请求时把token 从 session 中拿出，与请求中的 token 进行比对
 

今天的文章CSRF/XSRF简介分享到此就结束了，感谢您的阅读。