1.原理

功击者自己伪造了一个和网站一样的表单，然后在他自己站内或别处，向网站提交表单数据，给安全造成了问题

2.解决方式

(1).传统的浅层阻止

$referer = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : NULL;
$host = $_SERVER['HTTP_HOST'];
echo "提交的地址:" . $referer;
echo "<br/>本站域名：" . $host
if (substr($referer, 7, strlen($host) != $host)) {
    echo "非法操作";
} else {
    echo "合法操作";
}

(2).加密令牌

生成一个随机串，比如char_str ， 然后随表单生成一个隐藏域<input type="hidden" value="char_str " name="char_str " /> 并把这个值保存到服务器的 SESSION上,等到用户提交后，检查这个表单值和SESSION对比，不符就阻止。不过，这个方式如果用户多的话，会造成大量的SESSION，消耗服务器资源， 不推荐。一种优化的方式是把这个口令放在CACHE中,但是因为缓存会不定时清除，所以也有问题

(3).加密方式(推荐)

分为 单向加密和 可逆向加密:就是生成一个随机且变换频繁加密字符串（可逆和不可逆）,跟方式2一样放在表单中，等到表单提交后检查。这个随机字符串如果和当前用户身份相关联的话，那么攻击者伪造请求会比较麻烦，对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法，它的表单里常常会有post_form_id和fb_dtsg。这种方式中，字符串的有效时间要设置好，太短了用户体验不好，比如好不容易写好文章提交，令牌却到期了,不得不重写。因此，TTL过期时间应可设置。下面是一个不可逆的验证方式

class Token{
    CONST KEY = "secret-salt";
    static $ttl = 3; //$ttl表示这个随机串的有效时间(秒),很重要

    //加密
    public function get($uid, $action = -1){
        $i = ceil(time() / self::$ttl);
        return substr(self::challenge($i . $action . $uid), -12, 10);
    }

    //解密
    public function verify($uid, $crumb, $action = -1){
        $i = ceil(time() / self::$ttl);
        if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||
            substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)
            return true;
        return false;
    }

    //内部私有加密函数
    private static function challenge($data){ 
        return hash_hmac('md5', $data, self::KEY);
    }
}

使用：
在表单中插入一个隐藏的随机串crumb，其中，$uid可以是会员的ID，这样就有独立性

<input type ="hidden" name = "crumb" value= "<?php echo  Token::get($uid) ?>">

在PHP服务器接收端，这样检验。默认下这个字串的有效期是7200秒

<?php
if(Token::verify($uid, $_POST['token'])){
//按照正常流程处理表单
}else{
//校验失败，错误提示流程
}

上面的就是不可逆的加密方式
有时，还希望在表单中加入私密数据，跟随用户表单加密串一直生成，在前端不被用户看到，这样就可以用到可解密的函数，生成的字串在PHP端解密，起到2个作用：
(1).得到私密数据
(2).验证表单来源的合法性