如何解决跨站点请求伪造

这里有两个方案，可以参考：

方案一：每个请求都带上一个由服务器生成的随机参数。然后在服务器端和对该参数，如果和下发的随机数不同，则可以认为有人在伪造请求。因为攻击者无法知道他本次攻击的http请求需要带什么样的随机数才是有效的。 

方案二：跨域伪造之所以能成功，主要决定因素是攻击者的页面和稍候被打开的目标页面共享session信息。受害者登录后，攻击者的页面通过ajax向被

攻击网站的关键业务发起的请求便自动带上了合法的session信息。但是，根据javascript的同源策略可知，挂有A域名的窗口，不能获取挂有B