csrf 攻击的预防:
1.敏感操作api尽量不使用get请求,原因:容易伪造
2.验证码二次验证,用户发送请求时,要求短信验证码验证,确保是人为操作
3.检查refer,浏览器发送请求到服务端的时候,会带上refer 字段(请求来自哪个url),如果refer传过来的domain和当前网站不同,那么可以拒绝。
4.最常用的方案,每次请求server都会返回一个随机的csrf-token(每次页面刷新都会变),客户端请求时要把这个token带上。 java sprint-security里面默认会把csrf功能打开,因此如果没有带csrf去请求的话会被拒绝
非常好的解释: https://www.youtube.com/watch?v=gEPii2y3ISQ
标签:请求,攻击,验证码,token,csrf,CSRF,refer From: https://www.cnblogs.com/cynrjy/p/16817764.html