跨站点请求伪造（CSRF）是一种攻击，利用用户已登录的身份，在不知情的情况下执行非预期的操作。

跨站点请求伪造（CSRF）是一种网络攻击手段，攻击者通过诱使受害者点击或访问一个包含恶意代码的链接，从而在受害者不知情的情况下，以受害者的身份向服务器发送伪造的请求，这种攻击方式利用了网站对用户身份验证的漏洞，使得攻击者可以冒充受害者执行一些操作，如修改密码、转账等。

跨站点请求伪造的原理

1、用户在网站A上登录并获取到身份验证信息（如Cookie）。

2、用户在没有登出网站A的情况下，访问了包含恶意代码的网站B。

3、恶意代码会自动向网站A发送一个请求，如修改密码、转账等。

4、网站A收到请求后，发现用户的身份验证信息已经存在，认为这是一个合法的请求，从而执行相应的操作。

跨站点请求伪造的攻击类型

1、GET请求攻击：攻击者通过诱使受害者点击一个包含恶意代码的链接，从而发送一个GET请求。

2、POST请求攻击：攻击者通过诱导受害者提交一个包含恶意代码的表单，从而发送一个POST请求。

跨站点请求伪造的防御措施

1、使用验证码：在关键操作前增加验证码验证，确保用户知情同意。

2、添加Token：在表单中添加一个随机生成的Token，服务器验证Token的合法性，防止伪造请求。

3、Referer验证：检查请求来源，只允许来自指定域名的请求。

4、SameSite属性：设置Cookie的SameSite属性，限制第三方网站访问该Cookie。

跨站点请求伪造是一种常见的网络安全攻击手段，通过对用户身份验证信息的利用，实现对受害者的操作，为了防范这种攻击，网站开发者需要采取一定的防御措施，如使用验证码、添加Token、Referer验证和设置SameSite属性等。