# 定义： 指恶意用户将某些需要他人权限的接口埋藏在自己的脚本中，将脚本利用XSS相同的注入方式或诱导用户点击执行等方式令拥有权限者执行，从而达到自己的目的。 CSRF(Cross-site request forgery),跨站请求伪造。和XSS比较相似，但又不尽相同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。说白了，就是攻击者恶意构造了网站的某些操作，引诱用户去点击，从而在用户不知情的情况下做一些操作（攻击者盗用了你的身份，以你的名义发送恶意请求）。比如严重的有修改用户密码，管理员密码、添加管理员，甚至是转账等重要操作，一般的就很多了，比如修改用户信息、更改购物车、不知不觉改了你的收货地址……