发起伪造的方式
csrf工具:https://github.com/expressjs/csurf
Flash CSRF
CSRF Worm
csrf的防御
1.验证码
2.Referer Check
这个防御最常见的应用是“防止图片盗链”,主要是检查请求是否来自合法的“源”。
Anti CSRF Token
CSRF的本质就是重要的操作的所有参数都是可以被攻击者才到的。
所以我们可以采用一个加密的方式对数据进行加密传输。
但是也不能无缘无故、毫不讲理的将数据全部进行加密,这会对用户体验和开发工作带来很大困扰,所以我们就可以使用Anti CSRF Token
Token的使用原则
1.足够随机
2.有生命周期
3.考虑多个有效tocken,解决多页面共存问题
4.注意保密性
