如何防止CSRF跨站请求伪造攻击

CSRF攻击即跨站请求伪造(Cross-Site Request Forgery)，它是一种网络攻击，攻击者通过伪造来自受信任用户的请求来攻击受信任的网站。

CSRF攻击利用了web中的用户身份认证验证漏洞，即虽然可以保证请求发自某一用户的浏览器，但无法保证请求本身是用户资源发出的。要避免CSRF攻击，可以采取以下几种方法:

1、在HTTP请求中进行token验证

在表单中添加一个隐藏的字段，其中包含一个随机生成的token。当表单被提交时，服务器将检查该token是否与之前为该用户生成的token匹配。如果匹配，请求被接受;否则，请求被拒绝。

2、使用验证码

在表单中添加一个验证码字段，要求用户输入显示的随机字符串。服务器验证该验证码，以确保请求来自人类而不是自动化的脚本。

3、Referer识别

在HTTPHeader中有一个字段Referer，它记录了HTTP请求的来源地址。如果Referer是其他网站，就有可能是CSRF攻击，此时可以拒绝该请求。但是，服务器并非都能取到Referer。很多用户出于隐私保护的考虑，限制了referer的发送。在某些情况下，浏览器也不会发送Referer，例如HTTPS跳转到HTTP。

4、使用安全框架

例如Spring Security等安全框架提供了CSRF防御策略，可以自动进行token验证等操作。

需要注意的是，虽然CSRF攻击相对不太流行且难以防范，但其危险性仍然很高，应该引起足够的重视并采取相应的防范措施。