例如A用戶登陸了一個網站http://www.****.net/public/index/user/index_logined
他的session id再cookie文件裏保存
PHPSESSID=8ij3rq9ts56rb51d3859a3jeq6
然後B用戶通過csrf截獲了PHPSESSID=8ij3rq9ts56rb51d3859a3jeq6這個cookie
然後在瀏覽器輸入http://www.*****.net/public/index/user/index_logined 一開始不行
後來在application 裏添加這個 sessionid,這就截獲了這次訪問 再次輸入http://www.****.net/public/index/user/index_logined 順利訪問打開
這種獲取sessionid的方法只能用xss注入獲取