CSRF(Cross Site Request Forgery)即跨站点请求伪造,攻击者伪装成正常用户,对服务器发起请求,让服务器执行某些操作。例如用户正常登录某个网站,然后再未退出的情况下访问了攻击者事先准备好的页面,此时攻击者就有可能获取到保存在Cookie中的登录凭据或登录信息,然后攻击者就能伪装成用户,与服务器开始通信,CSRF的防御手段如下:
1.让用户与网站进行交互才能完成请求,例如在表单中添加验证码。
2.检查请求是否来自合法的源,例如上一页的域名是否与当前相同。
3.在每个请求中添加一个Token参数,这是一个随机数,可以在进入页面时生成,然后保存在Session中,服务器在接受到Token参数时进行校验,只有当校验成功时才执行后面的操作。