一、CSRF漏洞的概念

Cross-site request forgery 简称为“CSRF”，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。所以CSRF攻击也成为"one click"攻击

CSRF漏洞的防御

1、判断一个请求来自于本网站，还是来自于第三方网站(Referer来源)
2、对敏感信息的操作增加安全的token；
3、对敏感信息的操作增加安全的验证码；
4、对敏感信息的操作实施安全的逻辑流程，比如修改密码时，需要先校验旧密码等。