跨站请求伪造（CSRF）是一种网络攻击手段，攻击者诱导用户点击链接或执行操作，从而在用户不知情的情况下以用户的身份向网站发送恶意请求。

跨站请求伪造（CSRF）是一种网络攻击手段，攻击者通过诱导用户点击恶意链接或执行恶意操作，从而在用户不知情的情况下以用户的身份发起请求，完成非法操作，这种攻击通常发生在用户已经登录的网站上，攻击者利用用户的身份和权限进行操作。

攻击原理

1. 用户身份盗用

攻击者诱导用户点击恶意链接或执行恶意操作，使用户在不知情的情况下以自己的身份发起请求。

2. 利用用户权限

攻击者利用用户在已登录网站上的权限，执行非法操作，如修改用户信息、删除数据等。

攻击类型

防御措施

1. 添加Token

在表单中添加一个随机生成的Token，服务器验证请求时检查Token是否匹配，防止非法请求。

2. 验证码

对于敏感操作，要求用户输入验证码，确保用户知情并同意执行操作。

3. Referer验证

检查请求的Referer头，确保请求来源是合法的网站。

4. SameSite Cookie属性

设置Cookie的SameSite属性，防止浏览器在跨站请求时携带Cookie。

跨站请求伪造（CSRF）是一种网络攻击手段，攻击者通过诱导用户点击恶意链接或执行恶意操作，从而在用户不知情的情况下以用户的身份发起请求，完成非法操作，为防止CSRF攻击，可以采取添加Token、验证码、Referer验证和设置SameSite Cookie属性等措施。