怎么防止跨站请求伪造攻击（CSRF）（）怎么防止跨站请求伪造攻击（

一、CSRF 是什么？跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
二、实际攻击场景下面用一个银行网站的转账功能，说明攻击原理。备注：涉及到 URL 等信息都是虚构。
1、登录账号

正常登录了一家银行网站，查看其后台信息后，没有退出登录；
假设这家银行操作转账的 URL 是：

https://bank.example.com/withdraw?account=AccoutName&amount=1000&for=PayeeName

2、恶意链接

此时你看到其他网站的一个诱导链接，你下意识点开了；
诱导链接中包含恶意代码（用转账链接替代真实图片链接）

文章图片

3、攻击完成

点击链接后，浏览器会打开中 src 属性的链接来加载图片，但实际上执行了转账操作；
转账请求所用电脑、浏览器、ip等环境跟登录账号时的环境一模一样，银行网站后台会认为这就是你本人在操作，所以验证通过，直接转账。

三、防止 CSRF 攻击服务器端对请求做一次身份验证，拒绝掉无法通过验证的请求，即可方式 CSRF 攻击。
1、第一种方法：验证码给手机发送数字验证码、图形化验证码让客户识别、让用户再次输入账号密码等进行再次身份验证。
2、第二种方法：Token

Token 使用过程：

1、服务器生成一个 CSRF token； 2、客户端(浏览器) 提交表单中含有 CSRF token 信息； 3、服务端接收 CSRF token 并验证其有效性。
原理说明：
【怎么防止跨站请求伪造攻击（CSRF）（）】攻击者有可能在上面客户端中拿到 CSRF token，但是攻击者只能使用 JavaScript 来发起请求，如果服务器不支持 CORS(跨域资源)，那么攻击者的 跨域 JavaScript 请求 是会被服务器拒绝，达到防止 CSRF 攻击目的。
Node.js 项目中推荐使用 csurf ，具体使用方法，看这里！

四、参考文档