CSRF,通常称为跨站请求伪造，英文名Cross-site- request forgery缩写CSRF

1、网站中某一个接口存在某种漏洞
2、用户在注册网站确实登录过
以上两点是实现CSRF攻击的不可缺少的因素

1、Tocken验证
刚才在讲原理的时候在访问接口的时候浏览器只是自动上传了cookie，但是没有手动的上传Tocken，这个Tocken是用户注册成功或者没有注册只要是访问网站服务器就自动向客户端本地
自动存储一个Tocken,在访问各种接口的时候如果没有带Tocken的话，就不能通过验证，如果只是点击了引诱链接，这个链接只会自动携带cookie，但不会自动携带Tocken，就避免了攻击

2、Referer验证
这个Referer就是指的页面来源，如果服务器判断页面来自是站点下面的页面，如果是就会执行这个动作，不是的话就一律拦截

3、隐藏令牌
这个隐藏令牌和Tocken有点像，比如隐藏在http head头中，不会放在链接上，这样的话就会做得比较隐秘，和Tocken验证本质上没有太大的差别，只是使用方式上有点差别

XSS（cross-site scripting跨域脚本攻击）

http://www.imooc.com/learn/812

http://www.imooc.com/learn/812

XSS是向页面注册js去运行，然后js函数体里面去做它想做的事情

CSRF是利用你本身的漏洞去帮你自动执行那些接口，而且CSRF用户要登录网站