详细信息看这里:https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/
简介
CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。
CSRF 攻击实例
CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作。
CSRF 攻击的对象
要保护的对象是那些可以直接产生数据改变的服务,而对于读取数据的服务,则不需要进行 CSRF 的保护。
当前防御 CSRF 的几种策略
目前防御 CSRF 攻击主要有三种策略:验证 HTTP Referer 字段;在请求地址中添加 token 并验证;在 HTTP 头中自定义属性并验证。