关于CSRF跨域请求伪造的解决办法

中秋节时候我们的应用在短信验证码这块被恶意刷单，比如被用来做垃圾短信之类的，如果大规模被刷也能造成不小的损失。这还只是短信验证码，如果重要的API遭到CSRF的攻击，损失不可估量。所以紧急加班解决了CSRF的攻击问题。

CSRF是什么鬼？

CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

CSRF能干嘛？

你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......造成的问题包括：个人隐私泄露以及财产安全。

CSRF特性？

依靠用户标识危害网站访问A支付后你会发现银行卡里面多扣了1000块钱，why？通过get方式，你在访问A网站进行支付操作时，A网站保存了你的cookie信息，如果B网站拿到了你的cookie或者他伪造的数据刚好就是cookie里的，就能伪造你的请求，进行同样的支付操作。

 

海外公司注册、海外银行开户、跨境平台代入驻、VAT、EPR等知识和在线办理：https://www.xlkjsw.com

原标题：关于CSRF跨域请求伪造的解决办法

关键词：