跨站请求伪造 xsrf csrf

想扒一下知乎 然后看到postdata里有_xsrf的随机数字串  百度了下

跨站请求伪造(cross-site request forgery)通常缩写为XSRF，直译为跨站请求伪造，即攻击者通过调用第三方网站的恶意脚本或者利用程序来伪造请求，当然并不需要向用户端伪装任何具有欺骗的内容，在用户不知情时攻击者直接利用用户的浏览器向攻击的应用程序提交一个已经预测好请求参数的操作数据包，利用的实质是劫持用户的会话状态，强行提交攻击者构造的具有“操作行为”的数据包。可以看出，最关键的是劫持用户的会话状态，所以说，导致XSRF漏洞的主要原因是会话状态的保持没有唯一时间特征的标识，即是说在使用HTTPCookie传送会话令牌的过程中，应该更谨慎的判断当前用户，而不是简单的通过操作数据包的Cookie值来鉴别，简单的说是每次数据交互时，对提交的数据包实行唯一性标识。
XSRF攻击流程大致如下：

从上图可以看出，要完成一次XSRF攻击，比较关键的三个问题：
1) 会话状态[A]的保持，即用户已经获取了易受攻击网站A的信任授权。
2) 用户在依然保持没有登出易受攻击网站A的情况下，访问了“第三方网站”。
3) 提交的“操作”数据包是可以预知的。

国内的许多大型WEB程序开发者好像对XSRF没有足够的重视，这些看似需要特定场景才能诱发的漏洞，在结合XSS后，想来威胁应该不在注入之下。