用户在A网站的登陆状态还没有消失,然后进入了B网站,B网站能过获取用户的信息,从而构造请求,模拟用户操作
对所有的操作都要做好验证,在操作页面生成随机验证码,与服务器比对,确保是用户在页面上提交
用户在a网站的会话状态没有消失,然后进入了b网站,b网站向a网站发送请求,从而模拟用户请求,造成攻击。
在form表单中添加服务器的csrf加密字符串,在cookie中添加用form表单中的csrf的字符串加密之后的字符串,用户提交之后,通过获取表单中的csrf然后加密与cookie中的csrf进行对比