CSRF(Cross-site request forgery-跨站请求伪造）

原理

在第三方网站利用用户的登录状态向被攻击网站发送跨站请求

思路

1.Get请求，设置img的src属性发起请求

2.构造隐藏表单发起Post请求

3.利用a标签的hrref

如何验证网站存在csrf漏洞

参考方法（待验证）：

使用CSRFTester进行测试，抓取所有链接及表单信息，修改相应的表单信息，重新提交。若修改后的测试请求成功被网站服务器接受，则说明存在csrf漏洞。

防御

1.设置cookie的samesite属性为Strict或Lax

2.服务端验证请求来源站点（Referer，Origin）

3.使用CSRF Token

4.加入二次验证（使用独立的支付密码）