csrf攻擊與csrf防護

　　CSRF（Cross-site request forgery）跨站請求僞造，也被稱爲「One Click Attack」或者Session Riding，一般縮寫爲CSRF或者XSRF，是一種對網站的惡意利用。儘管聽起來像跨站腳本（XSS），但它與XSS很是不一樣，XSS利用站點內的信任用戶，而CSRF則經過假裝成受信任用戶的請求來利用受信任的網站。與XSS攻擊相比，CSRF攻擊每每不大流行（所以對其進行防範的資源也至關稀少）和難以防範，因此被認爲比XSS更具危險性。  

　　csrf防護：爲防止一些非真實的用戶請求網站，對網站形成攻擊，因此在先後端交互時都會攜帶加密的串，在以後每次請求時會首先比對這個串是否一致，一致即判斷爲我站真實用戶，不一致或未攜帶這個串即判斷不是我站用戶，多是爬蟲之類的，django中自帶了csrf的中間件，flask經過導包也可實現。

 

　　csrf攻擊：假設用戶在對A網站進行有效的網站請求過程當中，又點了別的廣告或者網站B，這時有可能B可能就會截獲用戶的cookie或者session，而且僞造信息對A網站發起請求。