当做CSRF攻击的时候 攻击的页面可以请求拿到验证码吗 可以的话验证码的防御不就失效了吗

所以我们先讲了XSS的防御。CSRF的防御是建立在没有XSS漏洞的基础上的。

不过XSS+CSRF的攻击结合起来的话好像也没那么容易，难度不小。

最核心的点是需要建立目标网站和CSRF攻击网站的用户关联，即识别到这两个站的访问者是同一个人，暂时能想到的是访问攻击网站必须由目标网站跳过去，并且带上用户标识。（否则由于同源策略限制，攻击网站识别不到目前访问者对应的目标网站用户是谁，也就识别不到应该给对应的哪个验证码）