CSRF攻击的过程及预防流程

CSRF攻击的过程

1.用户C浏览并登陆信任的站点A
2.A验证通过，在用户C处产生A的Cookie
3.用户C在没有登陆的情况下访问攻击站点B
4.B要求访问第三方的站点A，发出一个请求
5.根据B在4的请求，浏览器携带2产生的cookie访问站点A
6.A不知道5中的请求是用户C发出的还是B发出的，由于浏览器会自动带上用户C的Cookie，所以A会个根据C的权限处理5的请求，这样B就达到了模拟用户登录的目的

防止CSRF的攻击

1.在客户端向后端请求界面数据的时候，后端会往响应中的cookie中设置csrf_token的值
2.在Form表单中添加一个隐藏字段，值也是csrf_token
3.在用户提交的时候，会带上这两个值向后台发起请求
4.后端接收到请求以后，会做三件事：

• 从cookie中取出csrf_token
• 从表单数据中取出隐藏的csrf_token的值
• 将这连个值进行比对

5.如果比较后两个值一样，那么代表是正常的请求，如果没有取到或者比较不一致，代表不是正常的请求，不执行下一步操作