9.3.2　攻击流程

CSRF是怎样的一个攻击流程呢？举一个最简单的例子，比如直接请求http：//x.com/del.php？id=1可以删除ID为1的账号，但是只有管理员有这个删除权限，如果别人在其他某个网站页面加入<img src=”http：//x.com/del.php？id=1”>再把这个页面发送给管理员，只要管理员打开这个页面，同时浏览器也会利用当前登录的这个管理员权限发出http：//x.com/del.php？id=1这个请求，从而劫持了这个账号做一些攻击者没有权限做的事情。

上面举的这个例子只是其中一个场景，更严重的像添加管理员账号、修改网站配置直接写入webshell等等都有很多案例。