CSRF Cross-site request forgery 英 [krɒs saɪt rɪˈkwest ˈfɔːdʒəri] 美 [krɔːs saɪt rɪˈkwest ˈfɔːrdʒəri] 跨站请求伪造;跨站点请求伪造;跨站点的请求伪造 [友情链接](https://tech.meituan.com/2018/10/11/fe-security-csrf.html) ### CSRF安全防护 1. **referer**校验 校验referer是否从本网站发起的 2. **二次验证** 比如加一些验证码，修改密码的时候需要输入原密码等等 3. **token**验证 用户访问正常网站的时候服务器生成一个token，并且给到客户端。客户端每次请求都要带上，校验通过才行。而你访问黑客的网站的时候，他拿不到你的token所以不能请求成功。 ### CRSR**扫描工具** CSRFTester是一款CSRF漏洞的测试工具，此工具的测试原理如下：它使用代理抓取浏览器中访问过的连接以及表单等信息，通过在CSRFTester中修改相应的表单等信息，重新提交，相当于一次伪造客户端请求，如果被测试的请求成功被网站服务器接受，则说明存在CSRF漏洞，否则不存在。此款工具也可以被用来进行CSRF攻击