由通过seeion识别保存在cookie中的seeionID引发的CSRF问题

上图是一个完整的CSRF攻击过程解释图

重点是第三句话

用户在没有登出的情况下，被攻击者获得了SESSIONID信息，伪造真用户登录

 

二、CSRF防御

• 通过 referer、token 或者 验证码 来检测用户提交。
• 尽量不要在页面的链接中暴露用户隐私信息。
• 对于用户修改删除等操作最好都使用post 操作 。
• 避免全站通用的cookie，严格设置cookie的域。