如何避免CSRF攻击？

CSRF简介

 CSRF(Cross-site request forgery)也被称为one-click attack或session riding
   我们通常称之为“跨站请求伪造”
   通俗来讲:攻击者通过伪造用户的浏览器的请求
   向访问一个用户自己曾经认证访问过的网站发送出去
   使目标网站接收并误以为是用户的真实操作而去执行命令
   常用于盗取账号、转账、发送虚假消息等
    攻击者利用网站对请求的验证漏洞而实现这样的攻击行为
    网站能够确认请求来源于用户的浏览器，却不能验证请求是否源于用户的真实意愿下的操作行为

如何避免CSRF攻击

验证 HTTP Referer字段

 HTTP头中的Referer字段记录了该 HTTP 请求的来源地址
 

使用验证码

通过判断验证码可以防御CSRF。但这种方法对用户不太友好。

在请求地址中添加token并验证

在页面中加入随机token值，
如果post请求时，则包含在隐藏的作用域中
如果是get请求时，则包含在url后面
采用这种方式，跨站攻击者则无法得到token，所以请求时，则会被拒绝

在HTTP头中自定义属性并验证

此种方法同上面的随机token验证方式相似，只是我们在文本域中加入自定义属性名称