CSRF（Cross-site request forgery）跨站请求伪造：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。

攻击场景

GET型CSRF
<img src=http://xxx.org/csrf.php?xx=1 />
访问页面后就成功向http://xxx.org/csrf.php 发送了一次请求

POST型CSRF
使用一个自动提交的表单，模拟用户完成一次POST操作

JSON劫持攻击

CSRF蠕虫

flash CSRF

头像可控+csrf=无交互的csrf
图片可控有很多玩法