跨站点请求伪造CSRF

攻击过程：
诱使用户访问一个页面，利用用户身份在第三方站点执行一次操作。

在介绍CSRF之前先说说浏览器的Cookie策略
Cookie分为本地Cookie，即服务器设置了失效时间的Cookie，还有种是临时Cookie，存在浏览器内存中。
当跨站点请求伪造进行攻击时，往往通过Cookie进行。

CSRF防御手段
1.验证码
CSRF攻击往往是在用户不知情的情况下发生的，所以可以通过加上验证码让用户与应用交互，完成最终请求，可以有效遏制CSRF攻击。但用户体验不好，不可能对所有操作加上验证码，所以只能是辅助手段。

2.Anti CSRF Token
CSRF的token是根据“不可预测性原则”设计的，所以token生成要足够随机。