javascript的CSRF攻击是什么_怎样进行防护？

CSRF攻击本质是利用用户已登录会话，通过恶意JS静默发起带Cookie的请求；防护核心是后端签发一次性Anti-CSRF Token并校验，辅以SameSite Cookie、Referer检查等手段，严禁GET改状态或前端生成token。

JavaScript环境下的CSRF攻击，本质是利用用户已登录的会话状态，通过恶意页面里的JS代码自动发起目标网站的请求（比如转账、改密），而浏览器会悄悄带上Cookie，让服务器误以为是用户本人操作。

CSRF在JS里怎么被利用

常见手法不是靠用户点按钮，而是脚本静默执行：

• 用document.createElement('form')构造隐藏表单，填好参数后form.submit()
• 用fetch或XMLHttpRequest发POST请求，credentials: 'include'确保带Cookie
• 甚至用<img src="https://site.com/logout" alt="javascript的CSRF攻击是什么_怎样进行防护？" >触发GET型操作（如登出、关注）

最靠谱的防护：Anti-CSRF Token机制

核心思路是“服务端发令牌，前端必须回传，且每次不重复”：

• 用户访问表单页或进入SPA主页面时，后端返回一个一次性token（如csrf_token=abc123），写入HTML hidden input 或注入到JS变量中
• 所有敏感请求（AJAX或表单提交）必须在请求头（如X-CSRF-Token）或请求体中带上该token
• 后端收到请求后，比对token是否有效且未使用过；不匹配或已失效则直接拒绝
• 注意：token不能只存在JS变量里——XSS漏洞下可能被窃取；建议配合HttpOnly Cookie存储服务端校验用的签名值

辅助但不可单独依赖的手段

这些能提高门槛，但都有绕过可能，适合叠加使用：

标签： javascript java html js 前端 json ajax go cookie 浏览器 app axios