金融项目开发～安全之csrf

最近都在写关于安全的一类文章～都是个人公司项目里学到的东西～大牛路过的话～就随意看看就好了～有什么问题求指正～

我个人认为金融公司对安全应该多做研究～

记得去年有一家金融公司～被一群人薅了羊毛～

如果想了解这个情况～自己百度搜“快操盘事件”

csrf是什么呢？～跨站请求伪造～

和xss相比貌似危害大一些～

它的作用可以假装是你～

然后用你的身份去干一件事～

这个事情可能是修改你用户名这么简单～

也可能是将你账户里的钱转给他这么恐怖～

这种漏洞在于用户在某网站的会话（session）没过期，但是去访问了一个危险网站～

于是你的信息被盗取去干一些坏事～

怎么去解决呢？

在spring security在框架中有csrf防护～

大概思路就是生成的一个token（网上有细讲的）～

去验证这次请求的安全性～

还有一个解决办法是refer

验证 refer~什么的，但是不是很好，refer这种东西貌似可以伪造～