原理：

简单来说，就是用户的浏览器中存在一些攻击者想要的cookie，然后，用户登录了攻击者建造的危险网站，在攻击者的这个危险网站中，又去点击其他安全网站的链接，这才导致攻击者获得了用户的这个cookie，然后，攻击者根据用户的这个cookie，就有权限冒充用户去访问只有这个用户有权限访问的网站了。

补充：有些网站规定自己的某些网页打开地址必须由自己网站内的链接过来。因此，有时候攻击者就会通过修改referfer来欺骗网站服务器，告诉他我就是从你的某个网页上过来的，达到CSRF攻击的目的。

防御CSRF的几种思路：

1.进行referer验证。

2.进行token验证

3.增加一个询问框，验证码。一旦用户点击确定，立马弹出对话框，问用户是不是真的要这么做。而验证码也会随着每次的刷新，自动变更。这样一来，攻击难度蹭蹭蹭的往上增。

4.给用户一个只有用户本人才能知道的验证信息。比如纸质密保。比如改密码之前需要填写旧密码。