在修改信息（个人信息，密码等），执行某些操作时，如果抓包发现每月referer，csrf_token，那么可能产生csrf攻击，用burp抓包右键产生csrf代码，如图：

直接copy html后创建html在浏览器打开即可

通过get请求，进入黑客网站后可以设置img的src属性来发动请求

黑客网站构造隐藏表单发送请求

诱导用户点击a href链接触发

1）当用户发送重要的请求时需要输入原始密码这样限制攻击者无法在完全无感的情况下执行CSRF，用户也会因此警觉

2）设置csrf_token Token：给用户第一次登录时设定的唯一值（且足够随机），在作出请求的时候必须携带这个 Token才会生效，一方面减少了重复请求量，一方面也避免了大部分CSRF攻击

3）同源策略，检验 referer 来源，请求时判断请求链接是否为当前管理员正在使用的页面（管理员在编辑文章，黑客发来恶意的修改密码链接，因为修改密码页面管理员并没有在操作，所以攻击失败）

4）设置验证码

5）限制请求方式只能为 POST

CSRF

results matching ""