CSRF 攻击

Cross Site Request Forgery，跨站伪造请求攻击。

如何发生

登录网站 A 后，未退出网站，又点击了恶意链接网站 B，网站用网站 A cookie 去发送请求，伪造成用户的请求，造成损失。

如何防御

• 使用 Token 在 HTTP Header 中
• 验证 referer 是否是信任的网站
• 设置 Same-Site HTTP Header 为严格模式，此模式下不会携带 cookie