攻击方式
    1.受害者用户使用他/她的用户名和密码登录到可信站点,从而创建一个新的会话。
    2.受信任站点存储受害者会话的 cookie 或 session 在受害者用户的 web 浏览器端。
    3.受害者用户在不退出信任网站时就去访问恶意网站。
    4.恶意网站的网页发送一个请求到受害者的受信任的站点用户的浏览器。
    5.web 浏览器将自动连接会话 cookie,因为它是恶意的要求针对可信站点。
    6.受信任的站点如果受到 CSRF 攻击,攻击者的一些恶意的请求会被攻击者发送给信任站点。

    防御方式
    token:web应用程序可以在网页中嵌入一个加密的令牌,所有的请求都包含这个加密令牌,由于跨站请求无法获取这个令牌,所以伪造的请求很容易就被服务器识别;
    referer:使用web应用程序也可以验证请求来源页面的Referer,然后由于隐私考虑,这个referer经常被客户端过滤;

    https://blog.csdn.net/dreamcatcher1314/article/details/78652884