xsrf.md csrf cross-site request forgery xss: 利用客户端对站点信任、 csrf: 利用站点对已认证的客户端的信任 业务逻辑漏洞 利用条件 客户端已完成身份认证 新的请求不需要新的身份认证或确认机制 攻击者了解web app请求的参数构造 诱使用户触发攻击指令