http://mdsec.net/auth/472/
错误观点
不知何故,相比于请求的其他部分(如URL),人们常常认为HTTP消息头具有更强的“防篡改”能力。这会导致开发者实施信任由Cookie和Referer消息头提交的值的功能,而对其他数据(如URL参数)执行严格的确认。这种认识是错误的——因为任何业余黑客在攻击应用程序时都可以使用大量免费的拦截代理服务器工具轻松修改所有请求数据。打个比方,假如老师准备搜查你的书桌,你觉得把水枪藏在抽屉底下会更加安全,因为她需要弯下腰才能发现它。