什么是CSRF攻击

1、CSRF攻击简介

跨站请求伪造（Cross site request forgery）简称CSRF或XSRF，是一种挟制用户在当前已登录的Web应用程序上执行非本意操作的攻击方式。

2、CSRF攻击原理

攻击者通过技术手段欺骗用户的浏览器去访问曾经登录过的网站并执行一些操作（例如：发邮件、发消息、修改信息、购物、转账等），由于浏览器曾经登录过，所以被访问的网站会认为是真正的用户在进行相关操作，简单的身份验证只能保证请求发自某个用户的浏览器，但是不能保证请求本身是用户自愿发出的。

3、如何防御CSRF攻击

在网站的表单和用户浏览器的Cookie中分别增加一个随机加密的token，这样当用户访问网站时，程序会检测Cookie中的token与表单中token是否相同，如果相同，程序会让用户正常访问网站，否则会拒绝用户的访问。

4、什么是Cookie

Cookie是一种保存在客户端的小型文本文件，浏览器使用Cookie来保存用户的身份信息。

5、什么是Session

Session保存在服务端的数据库或内存中，Session可以配合Cookie来进行会话方面的操作。