跨站请求伪造（Cross-Site Request Forgery）或许是最令人难以理解的一种攻击方式了，但也正因如此，它的危险性也被人们所低估。在“开放式Web应用程序安全项目”（OWASP）的榜单中，CSRF（又称XSRF）就位于前10的位置。简而言之，就是恶意软件强制浏览器在用户已认证的上下文环境中，执行原本并不需要的指令。

       浏览器厂家深知这一危害，从而推出了某些类型的CSRF防护技术。

       尽管如此，攻击者们的手段也在日益翻新，甚至结合多种类型的Web攻击以放大危害（比如XSS和SQL注入）。

       举例来说，某CSRF通过XSS（跨站脚本）抓取了用户的cookies，然后借此将资金转出用户的银行账户。

       为了抵御CSRF攻击，开发者们可以在表单上部署CAPTCHA、利用多步事务、以及单次使用加密数来强化他们的anti-CRSF令牌。

虽然看不懂，但是楼主看起来好厉害的样子，能说的简单点不

认真学习了