csrf原理服务端未对用户请求来源校验，导致漏洞的出现
csrf 不要获取目标cookie，在目标登录相关网站拥有cookie时,使用此漏洞可以在指定网站使用目标cookie完成某些操作
具体实现（在没有token，refer验证前提下）
在修改账号密码(增加用户)页面中，uname,password可以将网页连接更改如下
http://192.168.0.1/genggaimima.php?uname=a&password=b
可以隐藏在html任意标签中
在钓鱼链接中插入此语句即可成功将目标在192.168.0.1网站的账号密码更改为a,b
csrf与存储型xss区别
csrf不需要获取目标cookie,直接利用即可，更改密码或者修改金额等操作，危害较小
存储型xss
获取管理者cookie，登录后台，危害较大
预防
采用随机校验码token对请求来源进行校验