什么是CSRF（Cross-Site Request Forgery，跨站请求伪造）？

CSRF（Cross-Site Request Forgery，跨站请求伪造）是一种互联网安全漏洞，它可以使攻击者利用受害者的已登录状态发送恶意请求。攻击者可以伪装成受害者的身份执行某些操作，例如更改密码、发表评论、转移资金等等。

攻击者通常会利用受害者在已登录状态下访问恶意站点，这个站点会包含一些诱导受害者访问的恶意代码。当受害者访问该站点时，恶意代码会向目标站点发送伪造的请求，但是由于受害者已经登录，所以请求会被目标站点认为是合法的，从而执行相应的操作。

CSRF 漏洞的防御通常涉及使用随机令牌（CSRF Token）来验证请求的来源和合法性。具体来说，服务器会在向客户端返回页面时，在表单中插入一个随机生成的令牌，然后在客户端提交表单时将令牌一同提交给服务器。服务器会检查提交的令牌是否和之前生成的一致，如果一致则说明请求是合法的。

在编写 Web 应用程序时，我们应该意识到 CSRF 漏洞的存在，并采取措施来防止这种漏洞。例如，使用随机令牌来验证请求的合法性、限制敏感操作的权限等等。