CSRF

• 跨站请求伪造，Cross-Site Request Forge
• 在当前已经登录的Web应用程序上执行恶意操作
• CSRF问题出在Http接口没有防范不受信任的调用
• 防范CSRF漏洞主要通过：
  • CSRF token验证，利用浏览器的同源限制，在Http接口执行前验证页面或者cookie中设置的token，只有验证通过才继续执行请求
  • 人机交互，比如在调用银行转账接口时校验短信验证码