CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。

　 这几天一直在思考自己负责过的6个前端工程里是否存在CSRF漏洞。

1.移动端手机内嵌H5没有使用Cookie，用户身份校验信息来自APP，token在header里传给了服务端做校验，所有请求都是通过ajax完成的，根据目前相关资料来看，是不存在CSRF漏洞的。

　 2.PC端的CMS后台，用户校验信息是通过localstorage存储的，而localstorage是不能跨域访问的，所有请求也都是在ajax完成的，因此也不存在CSRF漏洞。

　 那是否存在XSS漏洞呢，针对这个问题还在思考，一方面是XSS漏洞有好多方式，另一方面vue对绑定的数据都进行了处理，需要全方位思考才行。

　关于CSRF的知识可以看这 参考链接