CSRF跨站请求伪造
挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
跟跨网站脚本（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。
最大的区别就是CSRF没有盗取用户的cookie,而是直接的利用了浏览器存储的cookie让用户去执行某个动作
危害：更新账号细节，完成购物，注销甚至登录 获取用户的隐私数据
配合其他漏洞攻击 CSRF 蠕虫
分类：GET型和POST型
CSRF漏洞挖掘方法：密码修改处 点赞 转帐 注销 删除
CSRF漏洞修复方法：
1、校验referer来源
2、添加随机token
3、身份确认机制