[一些參考資料](https://blog.techbridge.cc/2017/02/25/csrf-introduction/) 攻擊者能透過 img 和 a href 來辦到這件事 而這因為 server 只使用簡單GET參數來做操作 (ex: post.php?del=123) 卻無其他的驗證方式 進而導致無法判讀是使用者主動發出還是攻擊者透過其他方式所發出的偽造請求 這個問題能夠透過 token 的方式解決 - Synchronizer Token Pattern - Double Submit Cookie 不過還要花點時間重寫架構 近期只能先禁言了(茶