CSRF跨站请求伪造

前面说到XSS跨站脚本攻击，现在来个复杂度更高一点的CSRF跨站请求伪造；

首先说一下RSRF的几个要点：
1. RSRF是通过各种方法（站内发布链接，qq邮箱发布链接等），让登录用户触发请求，在用户不觉察的过程中对用户数据进行篡改，进而实现攻击；
2. 通过XSS可以获取到用户的session_id,进而欺诈服务器，因此xss只是rsrf的实现途径之一；

防止方法：
1. 对于某些敏感的请求，禁用get方法，只对post方法进行放行；
2. 使用“请求令牌”，禁止无令牌的请求访问；
3. 启用httponly的响应头设置，让C端js无法访问cookie；