(1).窃取过程:浏览器没有关闭,保持登录状态

(2)第三方伪造页面,点击就跳转到修改密码页面

(3)settings.py 文件关于csrf的类

(4)关于POST的提交都要加{% csrf token %}标签

(5)防御原理:每个模板Django都会把{% csrf token %}标签生成不同的隐藏域

(6)自己提交的隐藏域

(7)第三方的隐藏域