- 用户A登录网站,登录成功后会设置cookie
- 黑客诱导用户A登录到黑客的站点,然后会返回一个页面
- 用户访问这个页面时,这个页面会伪造一个转账请求到银行网站
- 第三方页面跨域提交请求的时候,会带上这个域名下的cookie,而且表单是没有跨域问题的
- 验证码,每次发转账请求需要带上验证码
- referer验证(referer作用是指示一个请求是从哪里链接过来,而直接输入URL,这种请求是没有referer),通过验证referer验证请求来源来防御,不过referer可以伪造
- token验证,后端生成token,需要在请求的时候带上,来验证