CSRF防范及绕过
同源检测-referer

检测referer字段
例如:

一旦没检测到referer头或域名不对就直接放弃处理包的请求
绕过
所以绕过只能结合xss、文件上传html绕过
CSRF-Tkoen

每一次请求前都会准备好随机的csrftonken和服务器做比较,如果不对就被认为是csrf攻击

正常请求

置空请求

删除参数请求

复用请求

成功
绕过
1、复用
2、置空值
3、删除csrftoken这个参数
如果这三种尝试了都没办法,那么不存在csrf漏洞