内容来自《Java Web 程序员面试笔试宝典》

答案：CSRF（Cross-Site RequestForgery），即跨站点请求伪造，攻击者通过跨站请求，在合法用户不知情的情况下，以合法用户的身份伪造请求进行非法操作。其核心是利用了浏览器 Cookie 或服务器 Session 策略，盗取用户身份。

防范CSRF攻击的主要手段是识别请求者身份。这里推荐几种方法。

• 表单提交Token验证。
• HTTP请求头的Referer域检查（Referer记录着请求来源，可以通过检查请求来源来验证请求是否合法，如很多网站用此方法来实现图片防盗链）。
• 验证码验证。