5-CSRF漏洞

1.CSRF介绍

　　Csrf漏洞也被称为One Click Attack或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像xss漏洞，但是它与xss漏洞非常不同，xss利用站点内的信任用户，而csrf则通过伪装成受信任用户请求受信任的网站。与xss攻击相比，csrf攻击往往不大流行，也难以防范，所以被认为比xss漏洞更具危险性。

2. CSRF原理

　　攻击者利用目标用户的身份，以目标用户的名义执行某些非法操作。Csrf漏洞能够做的事情包括：以目标用户的名义发送邮件、发消息、盗取目标用户的账号，甚至购买商品、虚拟货币转账，这会泄露个人隐私并威胁到了目标用户的财产安全。
Csrf漏洞的攻击过程有两个重点：

• 目标用户已经登录了网站，能够执行网站的功能。
• 目标用户访问了攻击者构造的url。

3. CSRF修复

3.1验证请求的Referer值

3.2 请求中放入攻击者不能伪造的信息，比如tokrn