如何使用图像URL阻止跨站点请求伪造攻击？

来自ha.ckers.org/xss.html:

IMG嵌入式命令 - 当注入此网页时(如网页板)支持密码保护,并且密码保护与同一域上的其他命令一起使用时,此功能可用.这可用于删除用户,添加用户(如果访问该页面的用户是管理员),在其他地方发送凭据等等.这是较少使用但更有用的XSS向量之一:

  
  
当然,不可能确保服务器不会因执行GET请求而产生副作用; 实际上,一些动态资源会考虑这个功能.这里的重要区别是用户没有请求副作用,因此不能对他们负责.

因此,只应通过POST允许所有在服务器端更改数据的请求.即使在那里,您也应该只允许那些对您的系统进行身份验证的请求,方法是生成仅对特定表单/操作有效的令牌.