面试题：什么是CSRF攻击，如何避免

面试题：什么是CSRF攻击，如何避免

CSRF（Cross-site Request Forgery）攻击是指攻击者诱导用户在受信任的网站中执行非自愿的操作，从而获得未授权访问或者操纵权限的一种攻击方式。攻击者会利用已有的登录会话来调用需要被攻击网站上存在的某些功能，从而实现欺骗用户/服务器等目标。

例如，攻击者利用 CSRF 攻击可以在博客、电子邮件账户等场景下，用用户已经登录过得身份（cookie信息），向服务器发送恶意请求，对网站进行删除、修改和添加操作等。

避免 CSRF 的方法主要有以下两点：

1. 明确数据范围：在使用HTTP协议进行请求时，为了防止 Cross-site Request，需要在 HTTP 请求头中加入一个随机的 token 作为校验码，在服务端比较 token 值与 cookie 中存储的值是否相同，若不同则拒绝请求。
2. 合理设置 cookie 和 session：当用户 A 访问网站后，系统在后台生成 Session，并把 Session ID 返回给浏览器，并存储于 cookie 中，下次访问再将该 cookie 发送给服务器，故在这里就要做出如下限制： a. 设置 HttpOnly 等 cookie 属性，禁止页面 JavaScript 访问 cookie，提高 cookie 安全性； b. 及时结束会话：防止 Session Fixation 等情况的发生；