硬件型号：Dell Latitude5320

系统版本：Windows10

CSRF攻击机制

CSRF攻击利用网站对用户Web浏览器的信任来劫持用户当前登录的Web应用程序，以执行用户不希望执行的操作。

CSRF攻击防范

1. 仅使用JSON API，使用JavaScript发起AJAX请求仅限于跨域，无法通过简单表单发送JSON，因此仅接收JSON即可避免CSRF攻击。

2. 验证HTTP Referer字段。根据HTTP协议，在HTTP报头中有一个称为Referer的字段，它记录了HTTP请求的源地址。在大多数情况下，访问受安全限制的页面的请求来自同一个站点，例如在上面的WebA中想要转账的用户

3.您必须登录WabA，然后点击页面上的按钮来转移事件。

在这种情况下，传输请求的Referer值是传输按钮所在页面的URL。如果黑客想要对银行网站进行CSRF攻击，只能在自己的网站上构建请求。当用户通过黑客的网站向WebA发送请求时，请求的Referer值指向黑客自己的网站。

因此，为了防御CSRF攻击，WebA只需要验证每个传输请求的Referer值。如果域名以WebA的URL开头，则该请求来自WebA本身，并且是合法的。如果Referer是另一个站点，则可能是拒绝请求的黑客发起的CSRF攻击。

4. 向请求地址添加承担身份验证

CSRF攻击之所以能够成功，是因为黑客可以完全伪造用户的请求。请求中的所有用户认证信息都在cookie中，因此黑客可以在不知道认证信息的情况下直接使用用户自己的cookie通过安全认证。防御CSRF的关键是在请求中放入黑客无法伪造且不存在于cookie中的信息。您可以在HTTP请求中以参数的形式添加一个随机生成的令牌，并在服务器上建立一个拦截器来验证令牌。如果请求中没有令牌或令牌内容不正确，则作为可能的CSRF攻击拒绝请求。

此方法比检查Referer更安全。可以在用户登录后创建令牌并将其放入会话中，然后在每次请求时将其从会话中取出，并与请求中的令牌进行比较。