CSRF
CSRF即跨站请求伪造，主要是利用用户已经登陆的身份，在用户不知情的的情况下，以用户的名义完成非法操作，主要也是利用用户登录信息cookie
用户必须登录了被攻击的网站a，并且没有登出（cookie登录信息有效）
在新的浏览器tab打开攻击者的网站b，攻击网站b请求网站a的接口
a网站完全没有做CSRF攻击防范
危害
利用用户登录状态
用户不知情
完成业务请求
盗取用户资金（转账、消费）
冒充用户发帖背锅
损害网站声誉
防御
设置Referer,但是https协议下，不发送Referer
验证码（手机验证码、图片验证）
请求中加token
http自定义属性，并进行验证
如何验证
通常来说，最简单的方法就是抓取一个正常请求的数据包，去掉Referer字段后再重新提交，如果该提交还有效，那么基本上可以确定存在CSRF漏洞。
工具有CSRFTester，CSRF Request Builder等，当然也可以被用来进行CSRF攻击