什么是CRSFCSRF（Cross-site request forgery）即跨站请求攻击 。 简单的说 ， 是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作（如发邮件 ， 发消息 ， 甚至财产操作（如转账和购买商品）） 。 因为浏览器之前认证过 ， 所以被访问的站点会觉得是这是真正的用户操作而去运行 。
这就利用了web中用户身份认证验证的一个漏洞：简单的身份验证仅仅能保证请求发自某个用户的浏览器 ， 却不能保证请求本身是用户自愿发出的 。 其实可以这么理解CSRF攻击：攻击者盗用了你的身份 ， 以你的名义发送恶意请求 。 CSRF能够做的事情包含：以你的名义发送邮件；发消息；盗取你的账号；甚至于购买商品、虚拟货币转账......造成的问题包含个人隐私泄露以及财产安全 。 CRSF防御

• 检查HTTP Referer首部是否同域
• 限制Session Cookie的生命周期
• 使用验证码
• 使用一次性token

接口防刷技术解析1. 网关控制流量洪峰 ， 对在一个时间段内出现流量异常 ， 可以拒绝请求；
2. 源ip 请求个数限制 。 对请求来源的ip 请求个数做限制；
【津爱改装车|接口安全性测试技术(7)：CRSF及接口防刷技术】对单个用户/ip限制每分钟最多提交的次数 。 实现方式有多种 ， 常用的方式是记录单次提交成功的单个用户/ip放到mc/redis里面 ， 然后给mc设定2分钟的缓存时间 。 下次该用户/ip提交数据的时候先查mc是否已过期 ， 没过期 ， 则不给提交 。
3. http 请求首部字段进行校验；
例如Host，User-Agent，Referer 等
4. 对用户唯一身份uid进行限制和校验 。 例如基本的长度 ， 组合方式 ， 甚至有效性进行判断 。 或者uid具有一定的时效性；
5. 前后端协议采用二进制方式进行交互或者协议采用签名机制；
6. 人机验证
各种验证码（短信验证码、语音验证码、问题类验证码、读取式验证码、字符/图片类验证码、点触式验证码、视频验证码、行为式验证码、拖动式验证码等）
注：想要获取更多资料 ， 私信我哦~

• 兰德报告：脑机接口用到军事领域还有多远
• IT世界|用好Type-C接口 不可不知的十问十答（上篇）
• 吊带公主裙|多位神经学家质疑马斯克脑机接口：无突破性技术，马斯克回应
• 忆梦|电视接口都有哪些？各自有哪些作用？智能电视常见接口解析来了
• 津爱改装车|还在手打消息，流程审批？看看这款工具
• 网易科技|周鸿祎炮轰马斯克的脑机接口技术，有没有道理？
• 津爱改装车|亚马逊CEO贝佐斯如何识人、留人与管人
• 青柠檬檬哒|360周鸿祎：强烈反对马斯克“脑机接口”的广泛应用
• 津爱改装车|来，全搞懂，原来Mybatis执行一个sql有这么多类型，绝
• 津爱改装车|霸气外露！小米和奔驰联名：太高端了，感觉自己也在开奔驰了