CSRF，跨站请求伪造

原理：

简单来说是利用网站对用户浏览器的信任，挟持用户登陆web应用程序，去执行其他操作，

假设一个web A被攻击，web B攻击，用户浏览登陆A，在不关闭A的情况下访问了B，此时B要求用户访问A,进行CSRF攻击

与SSRF,XSS的区别与相似

CSRF和SSRF相似之处在请求伪造，不过CSRF伪造针对用户，SSRF针对服务器

CSRF与XSS的相似之处在于跨站，不过CSRF是基于WEB的隐式身份验证机制，XSS本质上是一种注入漏洞

寻找

简单的方法是抓取一个正常请求的数据包，看header和data中是否用token，然后去掉Referer字段后再重新提交，如果该提交还有效，那么基本上确定了