qq_18746961的博客

背景项目被漏洞扫描软件扫出来crsf 攻击，当时也没有认真看，今天突然想起来了，就有了一些疑问。为什么加crsf-token就可以解决该问题？概述CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患，比如 SQL 脚本注入，跨站域脚本攻击等在近年来已经逐渐为众人熟知，很多网站也都针对他们进行了防御。然而，对于大多数人来说，CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail

原因一般而言，几个网站以共享的方式宿驻在同一台web服务器之上，或者几个web应用程序共享同一个IP地址，这都是业界一些非常通用的做法。当然，这也就是host头(host header或称主机头)的存在原因。host头指定了应该由哪个网站或是web应用程序来处理一个传入的HTTP请求。web服务器使用该头部的值来将请求分派到指定的网站或web应用程序之上。宿驻在同一IP地址上的每个web应用程序通常被称为虚拟主机。使用HTTP代理工具，如postman篡改HTTP报文头部中HOST字段时，该值可被注入