例如A用户登陆了一个网站http://www.****.net/public/index/user/index_logined
他的session id再cookie文件里保存
PHPSESSID=8ij3rq9ts56rb51d3859a3jeq6
然后B用户通过csrf截获了PHPSESSID=8ij3rq9ts56rb51d3859a3jeq6这个cookie
然后在浏览器输入http://www.*****.net/public/index/user/index_logined 一开始不行
后来在application 里添加这个 sessionid,这就截获了这次访问 再次输入http://www.****.net/public/index/user/index_logined 顺利访问打开
这种获取sessionid的方法只能用xss注入获取