CSRF ————（二）绕过http_referer来源核对

1. http_referer是什么

HTTP Referer是header的一部分，当浏览器想web服务器发送请求的时候，一般都会带上referer，他是告诉服务器这个网页是从哪个链接过来的。因此服务器可以过得一些信息用户处理。

2. 用http_referer防御CSRF

HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，会带上Referer，通过验证Referer，可以判断请求的合法性，如果Referer是其他网站的话，就有可能是CSRF攻击，则拒绝该请求。
web请求当中，服务器常常会通过stripos()函数对请求进行referer校对，校对成功执行请求，校对失败，则是非法操作。

2.1 stripos()函数介绍

stripos() 凼数作用：查找字符串在另一字符串中第一次出现的位置（不区分大小写）。stripos()凼数是不区分大小写的。
例：查找 “php” 在字符串中第一次出现癿位置：

	echo stripos("You love php, I love php too!","PHP"