CSRF的全称是Cross Site Request Forgery，就是跨站点伪造请求攻击。 简单理解：Bad guy盗用你的身份，做桌下交易。详细原理看 Cross Site Request Forgery

经典案例：

看看乌云网友如何通过CSRF漏洞，自动加关注和发微博。防御措施：

最有效的措施，对敏感操作增加CSRF Token验证并尽量采用POST请求方式（虽然GET 也可以增加Token验证）。

1. 用户第一次请求网站是生成CSRF Token并保存到session中。
2. POST请求时，增加Input Field csrf_token, 参数值通过session获得。
3. 服务器端验证Token的合法性，并更新token。