是什么?

是一种利用用户在当前已登录的Web应用程序上执行非本意操作的攻击方法。攻击者利用了你在某个网站的身份,以你的名义发送恶意请求。

为什么?

原理:
利用条件
两个步骤:
登录信任网站A,并在本地生成Cookie
在不退出的情况下,访问危险网站B

会造成什么危害?

怎么修复?

关键操作增加验证码
验证referer
使用Token