CSRF跨域伪造请求

后端生成一个加密token，将其设置在cookie当中，专用于表单数据提交时的验证，并且前端在表单中多增加一个隐藏字段，每当用户提交表单数据时（post请求），将这个隐藏字段一并提交，后端再对表单中的token和cookie中的token进行对比验证。因为黑客是无法提取cookie当中的信息，自然他也无法得知表单中存在一个隐藏的token。如果是网站自己的请求当中，会带有这个隐藏字段，但黑客因为无法知晓表单中还有额外字段，所以黑客所发起的请求中没有此字段。我们可以据此区分：如果所提交的表单数据中不存在这个隐藏字段，或者跟后端生成的token结果不一致，则可认为是遭到了 CSRF 攻击而拒绝该请求。