CSRF:通过诱导用户点击恶意链接或者访问包含攻击代码的页面,利用用户的已登录身份认证信息(如Cookie),在用户不知情的情况下伪造请求,导致执行恶意操作(转账、修改密码)
转账
安全编码规范: 1.添加csrf-token:客户端每次请求操作,服务端都会将请求token与session存储token做校验 2.校验Referer头:通过检测HTTP请求的Referer字段是否属于本站域名
CSRF Token(跨站请求伪造令牌)机制的基本原理是在每个敏感请求中附带一个唯一的、随机生成的令牌(Token),服务器通过验证令牌的合法性来确认请求的来源是否可信。
通过检查请求的Referer或Origin头部,服务器可以判断该请求是否来自可信的站点