摘要： 跨站请求伪造漏洞由恶意用户利用其在第三方网站留下的可以自动提交的HTTP请求，并借用目标网站合法用户的会话（假冒合法用户身份），自动提交请求。例如用户登录网站A之后 认证方式由 对人的认证（账号/口令）转换成了 对浏览器的认证（session），后面的HTTP Request，只要还是通过当前的浏览器触发的，不管是出自用户的手工提交，还是第三方网站B的恶意请求（假设为嵌入第三方网站B的虚假图片，图片链接为 对A网站的敏感操作http://A/action.do?action=confidential ），在会话持续有效的情况下，如果用户访问了网站B，则请求会由浏览器自动提交给应用A。简言之，跨 阅读全文