CSRF（Cross-site request forgery）跨站請求偽造，也被稱為“One Click Attack”或者Session Riding，通常縮寫為CSRF或者XSRF，是一種對網站的惡意利用。儘管聽起來像跨站指令碼（XSS），但它與XSS非常不同，XSS利用站點內的信任使用者，而CSRF則通過偽裝來自受信任使用者的請求來利用受信任的網站。與XSS攻擊相比，CSRF攻擊往往不大流行（因此對其進行防範的資源也相當稀少）和難以防範，所以被認為比XSS更具危險性。

通常csrf是靠一個連結來盜取你的重要資訊：

攻擊者把這條連結以文字形式放到你的簡訊中，郵件裡，騙你去點選，這樣他們就得逞了（此傳遞方式為get）

那這csrf這麼普遍，我們該怎麼防護呢

這個方法行不通，還有下一層防護

 這是一般的防護方式，那麼在yii框架中，是怎麼防止csrf攻擊的呢

1) 表單頁有一個隱藏的csrf字串，

2）同時返回給瀏覽器中一個cookie值,存放csrf值，而cookie中的值是被加密的

3）表單提交到伺服器，伺服器解密cookie中csrf，然後和隱藏域中的進行對比，若一致則提交成功