7、知道referer头部吗，直接请求服务器时refer是多少，顺便聊了其在CSRF中的作用 Origin只有域名，referer包含域名+路径（请求来自哪个页面）； 地址栏直接输入url、刷新的时候referer都是null csrf可以在服务短检查refer，过滤来自恶意网站的请求（但refer可以被篡改