CSRF Cross-site request forgery 英 [kr?s sa?t r??kwest ?f??d??ri] 美 [kr??s sa?t r??kwest ?f??rd??ri] 跨站請求偽造;跨站點請求偽造;跨站點的請求偽造 [友情鏈接](https://tech.meituan.com/2018/10/11/fe-security-csrf.html) ### CSRF安全防護 1. **referer**校驗 校驗referer是否從本網站發起的 2. **二次驗證** 比如加一些驗證碼，修改密碼的時候需要輸入原密碼等等 3. **token**驗證 用戶訪問正常網站的時候服務器生成一個token，并且給到客戶端。客戶端每次請求都要帶上，校驗通過才行。而你訪問黑客的網站的時候，他拿不到你的token所以不能請求成功。 ### CRSR**掃描工具** CSRFTester是一款CSRF漏洞的測試工具，此工具的測試原理如下：它使用代理抓取瀏覽器中訪問過的連接以及表單等信息，通過在CSRFTester中修改相應的表單等信息，重新提交，相當于一次偽造客戶端請求，如果被測試的請求成功被網站服務器接受，則說明存在CSRF漏洞，否則不存在。此款工具也可以被用來進行CSRF攻擊