跨站请求伪造（CSRF）是一种安全漏洞，利用浏览器对已认证会话的信任，悄悄发送未经授权的命令。攻击者通过诱导用户点击链接或访问内容，执行伪造请求，进而操控用户账户。防御措施包括使用服务器端CSRF令牌、检查来源头和启用SameSite cookie属性等。用户和开发者应主动采取措施，确保网络安全。