编辑“︁PHP CSRF防护”︁（章节）

== 什么是CSRF攻击？ ==
CSRF攻击利用了Web应用对用户浏览器的信任机制。当用户登录某个网站后，攻击者可以诱使用户访问恶意页面，该页面会向目标网站发送伪造的请求。由于用户的浏览器会自动携带认证信息（如Cookies），目标网站会误认为这是用户的合法操作。

=== 攻击流程示例 ===
<mermaid>
sequenceDiagram
    participant 用户
    participant 恶意网站
    participant 目标网站

    用户->>目标网站: 登录并获取会话Cookie
    用户->>恶意网站: 访问攻击者构造的页面
    恶意网站->>目标网站: 自动发送伪造请求（携带用户Cookie）
    目标网站-->>恶意网站: 执行非预期操作（如转账、改密）
</mermaid>