CSRF（Cross-site request forgery）跨站请求伪造

CSRF（Cross-site request forgery）跨站请求伪造

    之前一直都知道这个安全问题，但是从没有遇到过，结果今天就有用户反馈说自己刚刚登陆了平台，操作没一会就背注销了，退出登陆了，接二连三也有一些其他用户进行了反馈，问题虽不是很严重，但是却很值得重视。通过用户反馈，说他们点击了一个红包连接之后就出现此问题，拿到红包代码，我们就知道问题了。

红包代码：

这代码很简单，就是发给用户一个假红包，用户点击之后，直接退出登录。我们退出登录只判断了是否有用户是否登陆，用户信息都存储在cookie中，无需获取，用户点击连接自己操作。这就假借用户之手，自己将自己注销掉了。如果是转账等操作就危险了。

解决方案：

1.添加referer头鉴定，必须来源于本网站（referer可伪造）。

2.给前端随机生成一个token，存入redis，有效期为2小时，个别转账，充值页面操作完成token立即失效，并重新刷新token，涉及到资金方面的操作就算获取到了token也没用。

经过以上两部（我们原先就有资金密码验证和手动滑块和手机验证码验证，虽然无惧scrf，但是多加一道安全总是好的）基本上就排除了csrf的攻击了。