跨站点伪造，顾名思义，在另外一个站点存在着访问被攻击站点的链接，链接触发后会携带被攻击连接的cookie。这样就伪造了一条非用户自身的操作。

危险！假如有以下场景：

1、你在某社交网站上面进行了登录。使用完后并没有注销，而网站使用Cookie标识用户状态。

2、此时你访问了某个知名颜色网站，这个网站html代码中有一条加载图片的标签，标签地址是上一点的某个社交网站中的发消息链接。图片会自动加载，加载就访问了链接，浏览器一看这链接有对应cookie就携带上了。过一会儿你发现你出现了很多聊天记录是发的“某某知名颜色网站，好看的不好看得都有”

怎么防范：

1、添加不透明的标记，此标记三方网站无法获得、生成

在每次访问链接是都带上这条标记。

2、使用cookie的sameSite属性