csrf攻击和防御（精简版）

csrf(Cross-site request forgery)跨站请求伪造。
一、攻击原理

图片.png
简单讲就是，利用你正在登陆的网站的cookie，登陆网站，然后从自己的钓鱼网站发送请求，实现用户操作。
二、防御
1.通过 referer、token 或者 验证码 来检测用户提交。
2.尽量不要在页面的链接中暴露用户隐私信息。
3.对于用户修改删除等操作最好都使用post 操作 。
4.避免全站通用的cookie，严格设置cookie的域。