漏洞原理：csrf全名为跨站请求伪造，是一种对网站的恶意利用，虽然听起来和xss很像，但是它们俩还是有很大的区别的。csrf是通过伪造来自受信任用户的请求来利用受信任的网站。

比如：

一个有csrf漏洞的A网站，网站B是攻击者构造的一个恶意网站，当用户没有退出A网站，或者用户登陆A网站的cookie没有过期，只要在同一个浏览器中打开这个网站B，攻击者就可以利用用户的身份进行用户才能进行的操作了。

具体示例：https://www.jianshu.com/p/4eed0faaf0ca

漏洞利用：抓包后，去掉Referer字段，如果go一下，依然有效，那么基本上可以确定该网站有csrf漏洞了

正常跳转

在这里我们把密码改为qwer

成功进入