一:CSRF攻击是基于浏览器方式运作的。在登录到一个站点后,信息将以cookie的形式存储到浏览器中,可能是存储在内存中的cookie,也可能是存储到硬盘中的更为持久的cookie,通过这2中cookie的任意一种,浏览器会告诉站点这是一个真实的用户发出的请求。
二: 阻止CSRF跨站请求伪造
①令牌验证。 在页面上添加 @Html.AntiForgeryToken(),它会输出一个加密之作为隐藏的输入元素。把它存入cookie中 “__RequestVerificationToken”,然后再方法上验证
[ValidateAntiForgeryToken] public string Get(){....}
②HttpReferrer验证,查看提交请求的Url是否来之目标站点