一、原理

1、攻击者构造网站后台某个功能接口的请求地址，诱导用户去点击或者用特殊方法让该请求地址自动加载。
2、用户在登录状态下这个请求被服务端接收后会被误以为是用户合法的操作。
a、对于 GET 形式的接口地址可轻易被攻击
b、对于 POST 形式的接口地址也不是百分百安全
攻击者可诱导用户进入带 Form 表单可用POST方式提交参数的页面

二、防范

1、验证 HTTP Referer 字段
2、在请求地址中添加 token 并验证
3、在 HTTP 头中自定义属性并验证

参考 https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/
https://zhuanlan.zhihu.com/p/22521378