web站点常见安全问题

CSRF(跨站请求伪造)

通过手段欺骗用户访问第三方页面，通过用户在第三方页面执行常规的操作来进行欺骗，这些操作包含了用户已登陆网站的一些请求，当用户点击该请求时，请求会发往原站，同时由于用户已经登录，所以原站是能验证用户的，通常会判断为合法请求。防御:

1.表单增加hash值，就像laravel和django自带的表单csrf验证一样，而这个hash值和用户是对应起来的，第三方是无法同时拿到这两个东西的

2.验证码