• 一、什么是CSRF
  • 1.1 总结转账攻击的过程
  • 1.2 CSRF
• 二、CSRF 防御
  • 2.1 如何防御CSRF攻击
  • 2.2 CSRF防御 - referer验证
  • 2.3 CSRF防御 - token验证

一、什么是CSRF

1.1 总结转账攻击的过程

• 回顾CSRF - 上篇 - 转账攻击，我们可以清楚地知道坏人是如何进行转账攻击的，下面先来总结一下这个过程。

1.2 CSRF

• CSRF（Cross Site Request Forgery）：跨站请求伪造。
• 本质：伪造。

二、CSRF 防御

2.1 如何防御CSRF攻击

• 先看下图：

• 从上图知道，我们可以这样防御 CSRF：

2.2 CSRF防御 - referer验证

• 点击下载demo

• demo 展示

2.3 CSRF防御 - token验证

• 点击下载demo

• 发送的请求数据：（里面多了一个 token 参数）

• demo 展示