这种其实就是 Access-Control-Allow-Origin 设置不合理，导致用户在访问恶意网站的时候，浏览器会偷偷发起对受害网站的访问，从而实现盗取个人敏感信息或者刷票等行为。

上面分两拨人，一拨是在思考 cors 跨域为什么会有攻击，一拨在思考 put 请求为什么就不会造成 csrf 攻击，这个帖子成功把 cors 和 csrf 混在了一起，只能说世界就是个草台班子...

哈哈哈哈哈，鸡同鸭讲

该继续宣传草台班子理论了😂

https://www.fshex.com/t/1056504?p=1#reply269

我认为是可以的。如果请求允许 PUT ，那么就无法在浏览器端构建出 CSRF 攻击。

但是，这种防御方式有点自损八百的感觉。

另外，我心中也有一个疑惑，为什么有的人要把 CSRF token 存放到 session 里？我感觉这种绑定的意义不大，还增加服务的负担。

那实际上 http 是支持 自定义 method 的，不是更那个啥一点？

你说的是跨站点请求伪造，不是跨域哈。

我现在脑子很乱，你们能不能不要再发 cscs 的帖子了

CSRF 不是用来偷 cookies 请求 GET 的吗，不是应该拒绝所有 GET 请求？但是现在 http GET 请求有很多特性（ cdn 缓存，浏览器缓存），不是那么好替代的……

这个帖子看得好喜感😅