CSRF的攻击原理和防御手段

CSRF（Cross Site Request Forgery）即跨站点请求伪造，攻击者伪装成正常用户，对服务器发起请求，让服务器执行某些操作。例如用户正常登录某个网站，然后再未退出的情况下访问了攻击者事先准备好的页面，此时攻击者就有可能获取到保存在Cookie中的登录凭据或登录信息，然后攻击者就能伪装成用户，与服务器开始通信，CSRF的防御手段如下：
1.让用户与网站进行交互才能完成请求，例如在表单中添加验证码。
2.检查请求是否来自合法的源，例如上一页的域名是否与当前相同。
3.在每个请求中添加一个Token参数，这是一个随机数，可以在进入页面时生成，然后保存在Session中，服务器在接受到Token参数时进行校验，只有当校验成功时才执行后面的操作。