并且我开一个看不见的 iframe，让 form submit 之后的结果出现在 iframe 里面，而且这个 form 还可以自动 submit，完全不需要经过用户的任何操作

回合二：

我：那后端改成只接收 json 呢？
CSRF：笑死，如果你的 api 的 Access-Control-Allow-Origin 设成 * 的话，代表任何 domain 都可以发送 ajax 到你的 api server，这样无论你是改成 json，或是把 method 改成 PUT, DELETE 都没有用。

回合三：

我：妈的，那请求我都带上图像验证，或者是短信验证。
CSRF：好吧，那我确实没办法了，网页的重要操作也确实是这么干的，但如果使用者每次删除 blog 都要打一次图形验证码，他们应该会烦死吧。

回合四：

我：可恶啊，CSRF不可小觑啊，我要认真思考了。要防止 CSRF 攻击，我们其实只要确保有些资讯「只有使用者知道」即可。那该怎么做呢？

我在 form 里面加上一个 hidden 的栏位，叫做csrftoken，这里面填的值由 server 随机产生，并且存在 server 的 session 中。

按下 submit 之后，server 比对表单中的csrftoken与自己 session 里面存的是不是一样的，是的话就代表这的确是由使用者本人发出的 request。这个 csrftoken 由 server 产生。

因为攻击者并不知道 csrftoken 的值是什么，也猜不出来，所以自然就无法进行攻击了。

CSRF：可是有另外一种状况，如果你的 server 支持跨域的请求，会发生什么事呢？我就可以在你的页面发起一个 request，顺利拿到这个 csrftoken 并且进行攻击。不过前提是你的 server 接受这个 domain 的 request。

回合五：

我：那我再想想，延续「有些资讯只有使用者知道即可」的思路，继续在 server 产生一组随机的 token 并且加在 form 上面。但不同的点在于，除了不用把这个值写在 session 以外，同时也让客户端设定一个名叫 csrftoken 的 cookie，就是在form表单里和cookie里同时放一个值是一样的csrftoken 。这样的话，由于浏览器的限制——攻击者没法获取到cookie，只是在发起请求时会携带。那攻击者自然也就无法在form表单里填上与cookie一致的csrftoken。我在server里一对比就能知道了是恶意提交了！

CSRF：看似完美，可惜还是不够，看这个：双提交cookie的脆弱 ：double-submit-cookies-vulnerabilities。阅读cookie是很难，可我可以自己伪造一个cookie，没想到吧

回合六：

我：(眉头紧皱)，那浏览器呢？ CSRF之所以能成，是因为浏览器的机制所导致的，有没有可能从浏览器方面下手，来解决这个问题呢？Google 在 Chrome 51 版的时候正式加入了这个功能：SameSite cookie。在设置cookie的时候加上了这个功能。那么只要是浏览器验证不是在同一个 site 底下发出的 request，全部都不会带上这个 cookie。
CSRF：试着用吧， 看这个：SameSite浏览器版本支援 ，似乎对老浏览器的支援度不够啊。

总结：

道高一尺魔高一丈，还有更多的开发者与CSRF的斗法场景，比如Amazon的双cookie策略。客户端的双提交cookie等等。在这起到一个抛砖引玉的作用，keep moving