CSRF漏洞

CSRF-跨站请求伪造(客户端请求伪造) 原理：

一:CSRF攻击：攻击者盗用了你的身份（即用了你的COOKIE），以你的名义进行某些非法操作。CSRF能够修改你的密码，使用你的账户发送邮件，获取你的敏感信息，甚至盗走你的财产等。 攻击者盗用了你的身份 对于网站而言，身份的标识为cookie

二:要完成一次CSRF攻击，受害者必须依次完成两个步骤：

1：登录受信任网站A，并在本地生成Cookie
2：在不登出A的情况下，访问恶意网站B
3：必须是同一浏览器，因为不同浏览器不能相互利用COOKIE

对比XSS和CSRF

XSS：获取你的cookie，知道cookie具体的值 CSRF：盗取cookie，不知道cookie具体的值