XSRF

refer : https://docs.angularjs.org/api/ng/service/$http (search : Cross Site Request Forgery (XSRF) Protection)

发生在 user 登入后, 访问恶意网页, 恶意网页submit一个form post 请求去做一些坏事.

解决方式是user登入后给user一个random token在cookie里, 每一次user请求都必须把这个 token 放入header 或者 postData 中.

server side 必须确保这个 request 给予的 token 和 cookie 是符合的.

由于跨站点是没办法获取到cookie内的值的，所以恶意网页没办法获取到token,也就没办法把token值放入 header,这样就不可能通过验证了咯。

以上.