用戶登錄受信任網(wǎng)站A，并且在本地生成Cookie

在不登出網(wǎng)站A的情況下，訪問危險網(wǎng)站B

CSRF攻擊是攻擊者利用用戶身份操作用戶賬戶的一種攻擊方式

CSRF能攻擊成功的本質(zhì)原因：重要操作的所有參數(shù)都是可以被攻擊者猜測到的

CSRF攻擊過程中，用戶在不知情的情況下構(gòu)造了網(wǎng)絡(luò)請求，添加驗(yàn)證碼后，強(qiáng)制用戶必須與應(yīng)用進(jìn)行交互

優(yōu)點(diǎn)：簡潔而有效

缺點(diǎn)：網(wǎng)站不能給所有的操作都加上驗(yàn)證碼

利用HTTP頭中的Referer判斷請求來源是否合法
Referer首部包含了當(dāng)前請求頁面的來源頁面的地址

優(yōu)點(diǎn)：簡單易操作（只需要在最后給所有安全敏感的請求統(tǒng)一添加一個攔截器來檢查Referer的值就行）

缺點(diǎn)：服務(wù)器并非什么時候都能取到Referer

很多出于保護(hù)用戶隱私的考慮，限制了Referer的發(fā)送。

比如從HTTPS跳轉(zhuǎn)到HTTP，出于安全的考慮，瀏覽器不會發(fā)送Referer

關(guān)于Referer的更多詳細(xì)資料：https://75team.com/post/everything-you-could-ever-want-to-know-and-more-about-controlling-the-referer-header-fastmail-blog.html

比如一個刪除操作的URL是：http://host/path/delete?uesrname=abc&item=123

保持原參數(shù)不變，新增一個參數(shù)Token，Token值是隨機(jī)的，不可預(yù)測

http://host/path/delete?username=abc&item=123&token=[random(seed)]

由于Token的存在，攻擊者無法再構(gòu)造出一個完整的URL實(shí)施CSRF攻擊

優(yōu)點(diǎn)：比檢查Referer方法更安全，并且不涉及用戶隱私

缺點(diǎn)：對所有的請求都添加Token比較困難

更多關(guān)于CSRF詳細(xì)可參考：

CSRF 攻擊的應(yīng)對之道：https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/

CSRF原理剖析：http://netsecurity.51cto.com/art/200812/102951.htm

維基百科CSRF：https://en.wikipedia.org/wiki/Cross-site_request_forgery

CSRF實(shí)例：http://netsecurity.51cto.com/art/200812/102925.htm

Token需要足夠隨機(jī)，必須用足夠安全的隨機(jī)數(shù)生成算法

Token應(yīng)該為用戶和服務(wù)器所共同持有，不能被第三方知曉

Token可以放在用戶的Session或者瀏覽器的Cookie中

盡量把Token放在表單中，把敏感操作由GET改為POST，以form表單的形式提交，可以避免Token泄露（比如一個頁面：http://host/path/manage?username=abc&token=[random]，在此頁面用戶需要在這個頁面提交表單或者單擊“刪除”按鈕，才能完成刪除操作，在這種場景下，如果這個頁面包含了一張攻擊者能指定地址的圖片，則這個頁面地址會作為HTTP請求的Refer發(fā)送到evil.com的服務(wù)器上，從而導(dǎo)致Token泄露）

當(dāng)網(wǎng)站同時存在XSS和CSRF漏洞時，XSS可以模擬客戶端瀏覽器執(zhí)行任意操作，在XSS攻擊下，攻擊者完全可以請求頁面后，讀取頁面內(nèi)容中的Token值，然后再構(gòu)造出一個合法的請求

安全防御的體系應(yīng)該是相輔相成、缺一不可的

點(diǎn)擊劫持是一種視覺上的欺騙手段。攻擊者使用一個透明的、不可見的iframe，覆蓋在一個網(wǎng)頁上，然后誘使用戶在網(wǎng)頁上進(jìn)行操作，此時用戶將在不知情的情況下點(diǎn)擊透明的iframe頁面。通過調(diào)整iframe頁面的位置，可以誘使用戶恰好點(diǎn)擊在iframe頁面的一些功能性按鈕上。

X-Frame-Options HTTP響應(yīng)頭是用來給瀏覽器指示允許一個頁面能否在、