- CSRF 全拼为Cross Site Request Forgery,译为跨站请求伪造。
- CSRF 指攻击者盗用了你的身份,以你的名义发送恶意请求。
- 如果想防止 CSRF,首先是重要的信息传递都采用 POST 方式而不是 GET 方式。
- 启用 CSRF 中间件,默认启用。
- 在 form 表单中加入标签 csrf_token。
- 当启用中间件并加入标签 csrf_token 后,会向客户端浏览器中写入一条 Cookie 信息,这条信息的值与隐藏域控制的 value 属性是一致的,提交到服务器后会先由 csrf 中间件进行验证,如果对比失败则返回403页面,而不会进行后续的处理。
csrf 攻击.png
