# 定義： 指惡意用戶將某些需要他人權限的接口埋藏在自己的腳本中，將腳本利用XSS相同的注入方式或誘導用戶點擊執行等方式令擁有權限者執行，從而達到自己的目的。 CSRF(Cross-site request forgery),跨站請求偽造。和XSS比較相似，但又不盡相同，XSS利用站點內的信任用戶，而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。說白了，就是攻擊者惡意構造了網站的某些操作，引誘用戶去點擊，從而在用戶不知情的情況下做一些操作（攻擊者盜用了你的身份，以你的名義發送惡意請求）。比如嚴重的有修改用戶密碼，管理員密碼、添加管理員，甚至是轉賬等重要操作，一般的就很多了，比如修改用戶信息、更改購物車、不知不覺改了你的收貨地址……