问SCF的不再需要关心周边组件是什么意思？

csrf：一般指跨站请求伪造。跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

如何攻击

• 爱豆打援$100 www.bank.com/transfer/to=aidou&money=100
• 应援群：请各位粉丝登记一下，www.danger.com,
• 放一张爱豆照片/为了我们爱豆请帮我们点一下下方广告
• <img src=http://www. bank.com/transfer?to=应援群主&money=100>
• 发现钱少了，一查记录给了群主
• 群里声讨，被认定为黑粉，被踢出了群聊

如何防御

• get改post
• cookie设置为http-only
• 增加后端生成的token校验（csrf的token）
• 增加refer头校验

跨站请求伪造（英语：Cross-site request forgery），也被称为one-click attack或者session riding，通常缩写为CSRF或者XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。

防御措施

1. 检查Referer字段

2. 添加校验token