电商安全无小事，如何有效地抵御 CSRF 攻击？

电商安全无小事，如何有效地抵御 CSRF 攻击？

首先，我们需要弄清楚 CSRF 是什么。它的全称是 Cross-site request forgery ，翻译成中文的意思就是「跨站请求伪造」，这是一种对网站的恶意利用。简单而言，就是某恶意网站在我们不知情的情况下，以我们的身份在你登录的某网站上胡作非为——发消息、买东西，甚至转账......

这个过程到底是怎样的呢？让我们看个简单而鲜活的案例。

银行网站 A，它以 GET 请求来完成银行转账的操作，如：

危险网站 B，它里面有一段 HTML 的代码如下：

可能会发生什么？你登录了银行网站 A，然后访问危险网站 B 以后，突然发现你的银行账户少了10000块......

为什么会这样呢？原因是在访问危险网站 B 之前，你已经登录了银行网站 A，而 B 中的以 GET 的方式请求第三方资源（这里的第三方就是指银行网站了，原本这是一个合法的请求，但这里被不法分子利用了），所以你的浏览器会带上你的银行网站 A 的 Cookie 发出 GET 请求，去获取资源

结果银行网站服务器收到请求后，认为这是一个合理的转账操作，就立刻转账了......

相信，很多人了解到这儿，会出现一身冷汗，还让不让我们在「双11」期间能够愉快地享受网购的快感了？难道没有什么办法防住它嘛？