CSRF（cross-site request forgery），跨站请求伪装

1.CSRF（cross-site request forgery），跨站请求伪装
顾名思义，用户角度，访问成功并且登录成功我们的网站，没有推出情况下，又访问了病毒网站，于是病毒网站通过用户端，拿着用户的缓存请求我们的网站(尤其是些增删改查的致命操作)，于是乎，成功影响了我们的网站，web-died。

登录成功（未退出）
User(A)----------------------->WEB(B)
| | -------------------->
| | 反向通过用户A，请求B网站
| <----------------------------
| |
| |
| 访问 |
-------------------------->WEB（C）病毒网站
确认的一点为：用户能发送请求，携带用户A的cookie数据，但是获取不到。
解决方式：
1.通过生成token值
在用户登录成功网站，会缓存token值存在cookie中，用户下一次的请求，需要携带token值与本地cookie中token值进行比对，如果不通过，则认为是攻击。
2.隐藏令牌
生成的token值，存入http的请求中。
3.Referer认证
Referer是指页面请求验证的意思，如果不是从该页面请求而来，则拒绝访问。

Java代码实现方式：
public class CSRFInterceptor implements Interceptor {

public static final String CSRF_ATTR_KEY = "CSRF_TOKEN";
public static final String CSRF_KEY = "csrf_token";

@Override
public void intercept(Invocation inv) {

//不是 do 开头的，让其通过
//在JPress里有一个共识：只要是 增、删、改的操作，都会用do开头对方法进行命名
if (inv.getMethodName().startsWith("do") == false) {
renderNormal(inv);
return;
}

//从cookie中读取token，因为 第三方网站 无法修改 和 获得 cookie
//所以从cookie获取存储的token是安全的
String cookieToken = inv.getController().getCookie(CSRF_KEY);
if (StrUtil.isBlank(cookieToken)) {
renderBad(inv);
return;
}

//url参数里的csrf_token
String paraToken = inv.getController().getPara(CSRF_KEY);
if (StrUtil.isBlank(paraToken)) {
renderBad(inv);
return;
}

if (cookieToken.equals(paraToken) == false) {
renderBad(inv);
return;
}

renderNormal(inv);
}

private void renderNormal(Invocation inv) {
// 不是 ajax 请求，才需要重置本地 的token
// ajax 请求，需要保证之前的token可以继续使用
if (RequestUtil.isAjaxRequest(inv.getController().getRequest()) == false) {
String uuid = StrUtil.uuid();
inv.getController().setCookie(CSRF_KEY, uuid, -1);
inv.getController().setAttr(CSRF_ATTR_KEY, uuid);
}

inv.invoke();
}

private void renderBad(Invocation inv) {
if (RequestUtil.isAjaxRequest(inv.getController().getRequest())) {
inv.getController().renderJson(Ret.fail().set("message", "bad or mission token!"));
} else {
inv.getController().renderError(403, new TextRender("bad or missing token!"));
}
}

}