分享一篇详细的感觉特别好的文章
https://www.cnblogs.com/qmfsun/p/5779469.html
理解:跨站 请求 伪造(伪造页面、诱惑点击 然后伪造用户身份进行操作)
攻击者在 用户不知情的情况下,伪造发出一个未经授权的请求,进行攻击,伪造成用户的身份进行操作。
常见页面:修改密码、表单提交
解决方法:
校验referer(包含host)
携带csrf_token(但也有可能结合XSS 获取token)
修改密码页面要求 必须输入原始密码才可以改密码,有效防止。
验证码短信