触发条件:
    ①用户某一网站处于登陆状态
    ②用户访问了一黑客精心构造的带有特殊url访问请求的网站

    漏洞验证:
    一般在用户信息更新页面,利用Burpsuite抓包,利用工具内部的功能生成CSRF的POC(这个POC也可以自定义),然后将生成的HTML代码放在一公网服务器下,由用户访问然后查看确认最后是否触发漏洞。

    防御方法:

    1. 设置随机Token。如果设置这个参数就不存在漏洞,一般在数据包中就可以直接判断出。(推荐这个
    2. 检测referer来源。但是一般可伪造。