加强跨站请求伪造防御?

跨站请求伪造（Cross-site request forgery，CSRF）,也叫“跨域请求伪造”，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方式，它是一种利用网站的信任机制来实现攻击的手段。
CSRF攻击主要是利用网站向用户发送Cookie，如果用户在访问攻击者构造的恶意页面时，恶意页面可以利用用户的Cookie向服务器发送恶意请求，从而窃取用户的账号信息、改变用户的一些设置等，是一种比较危险的攻击。

为了防范CSRF攻击，应采取一系列的措施：

1、验证码：使用验证码可以有效的防止程序自动提交表单，验证码可以是图片、声音或者文本等，可以增加攻击者构造攻击页面的成本，从而减少攻击的可能性。

2、Referer验证：在服务器端进行referer验证，防止攻击者构造恶意请求，只有正确的referer才能够访问服务器，减少攻击的可能性。

3、Token验证：在表单提交时需要提交一个token，当接收到请求时，先检查token是否正确，正确则以为是来自正常页面的提交，反之则拒绝请求，从而可以阻止攻击者构造的攻击页面。

4、Session验证：在提交表单时，我们可以检查sessionid是否正确，只有正确的sessionid才能提交表单，从而可以阻止攻击者窃取用户的sessionid来构造攻击页面。

5、加强安全：要加强Web安全，可以采用白名单策略，只允许指定的请求，其他请求则被拒绝，从而可以有效的阻止攻击者构造攻击页面。

6、防止篡改：在收到客户端发送的请求时，服务器端可以检查请求中的数据是否被篡改，如果发现数据被篡改，则拒绝请求，从而可以有效的阻止攻击者构造攻击页面。

7、限制IP：可以限制发送请求的IP，只允许发送请求的IP，其他IP则被拒绝，从而可以有效的阻止攻击者构造攻击页面。

8、设置访问限制：可以设置一些访问限制，比如每个IP每天只允许访问某个页面的次数，当超过设定的次数时，则拒绝请求，从而可以有效的阻止攻击者构造攻击页面。

通过以上几种措施，可以有效的防御CSRF攻击。但是，最有效的防御措施仍然是对网站设计的良好的安全策略，才能有效的防止CSRF攻击。