CSRF（Cross-site request forgery跨站请求伪造）是一种对网站的恶意利用，在2007年曾被列为互联网20大安全隐患之一。关于CSRF，要从一个故事开始。老王丢钱事件这个故事要从程序员老王丢了1万块钱说起，总之是进了小偷，找回无果。丢钱后的老王一直在思考，钱是怎么丢的、为何丢钱、为何是我丢钱。后来老王出现了严重的心理问题，他决定报复社会。老王首先研究了网银系统，他发现转账是通过GET形式https://bank.abc.com/withdraw?account=liuxiaoer&amount=1000&to=abei这意思就是说将liuxiaoer的1000元钱转给abei，当然当请求到达银行服务器后，程序会验证该请求是否来自合法的session并且该session的用户就是liuxiaoer并且已经登录。老王自己也有一个银行账号wang2，他尝试登录并且通过浏览器发送请求给银行，代码如下https://bank.abc.com/withdraw?account=liuxiaoer&amount=1000&to=wang2...