1、简介

1. 攻击者盗用身份

2、原理

1. 前提是在会话中，浏览器经过服务器认证，可以合法操作
2. 欺骗用户访问url
3. 举例：在对银行的合法会话中，欺骗用户访问以下url。

3、cookie

1. CSFR的前提是用户处于登陆状态
2. 在同源页面的<ifrmae src=''>中访问伪造的url，chrome会带上cookie，ie不会

4、预防CSFR

1. 二次确认，例如转账要输入密码

4.1、token认证

4.1.1、详细步骤