Security——CSRF功能

CSRF漏洞攻击，举个栗子：用户登录的情况下，这时候，浏览器打开了黑客设计的页面，页面提供了一个带有删除操作的按钮，按钮的地址是抓包获取的，用户点击了该按钮，后台数据就真的删了。

简单的做法，可以通过 “数据加密 + token” 的方式，让表单的数据变得更加复杂，无法轻易复制。

（因为BS架构的特殊性，页面源码始终都是对外开放的，想要攻击始终还是有办法，不过这已经不属于CSRF漏洞了。）

Security的做法：通过模版引擎，直接将token渲染到页面上，通过代码控制，token可以藏在页面任意一个位置，每次提交表单，需要带上这个token。

在开始试用Security的时候，为了方便通常会先禁用csrf，下面把这个功能启用起来，注释掉下面这一行。

        //启用CSRF，放置CSRF攻击
        //http.csrf().disable();

在登录页面的表单中加入token。

（其它页面与登录页面类似，需要在表单中增加token字段）