CSRF(跨站点请求伪造)依赖于已知或可预测的表单值和已登录的浏览器会话。
每个表单在提交时应包含一个令牌值,这个令牌应该在表单加载前或用户会话开始时生成。
当接收到POST请求时检查服务器上的这个令牌与提交值是否一致,以确保是用户自主发起的请求。
该功能可以与Web平台一起提供,并且可以用最小的开销在表单上实现。
http://op-co.de/blog/posts/android_ssl_downgrade/
M1 - Weak Server Side Controls
CWE 325