误点链接被转账是怎么回事

  网络安全对于普通人来说似乎遥不可及，花几分钟看完这篇小文，就会发现安全风险其实就在我们身边。
  在你注册登录一个网站时，网站会发送你一个叫cookie（中文叫饼干）的东西，它会保存到你的浏览器，当你再访问这个网站时，浏览器就会带上这个cookie。这有什么用呢，就相当于当你第一次登录网站时，网站给你发了个叫饼干的通行证，当您访问这个网站其他页面时，浏览器都会带上这个饼干通行证，网站一看，这人有我发的通行证，所以可以让他对他的账号做任何操作。
   这时你的账号是安全的，因为只有你能登录账号，并且那个饼干通行证只有你才有，别人想上你的账号修改东西，要么有你账号，要么能拿到那个饼干通行证，这两件事都不是那么容易。
   如果这个账号是你的银行账号，你想给朋友转100元，你会先登录银行页面，在接收人卡号那输入对方卡号：911111  金额输入：100，点提交时，银行网站做的处理就是把你输入的卡号和金额作为参数发送给后台，然后后台在你卡号减100，对方卡号加100，这笔操作就完成了。在你提交的时候会发现浏览器显示这样一行
http://www.bank.com/transfer.php?tobankid=911111&money=100
对不懂程序的朋友，这行什么意思呢，http://www.bank.com/transfer.php就是你转账的这个页面地址，?tobankid=911111&money=100就是把你刚才输入的卡号和金额作为tobankid和money的参数，提交到后台，后台会识别出这个命令，再进行后边操作。
每个转账的人看到的基本都是这同样的地址信息，只是卡号和金额不同。
    你转完账，忘了关闭银行页面，就去看娱乐新闻了。这时有个陌生人发你一个链接：女星三胎生父是他http://www.bank.com/transfer.php?tobankid=922222&money=1000,你迫不及待的点击时，什么也没有，你很沮丧。这时你收到一条短信：您向922222转账1000元，你不禁怀疑这应该是诈骗短信吧。
    实际你确实已经转1000元给那个卡号了，虽然你并没做什么，只是点了个链接。
    为什么呢？
    在你点击那个链接时，如果细看就会发现那个链接和你正常转账提交时出现的地址一样，只是卡号和金额不一样，那么是不是每个人点击一下都会被转走钱呢，肯定不会的，要不就天下大乱了。其实是因为你点击陌生链接时，你刚才登录的银行网站还没关，银行给你的那个饼干通行证还在有效期，你点击陌生人发给你的转账链接时，需要用浏览器打开，浏览器一看，这个地址我熟悉啊，并且我有这个地址的饼干通行证，主人你既然要访问，那就不用再登录了，带上这个通行证就可以了，浏览器就把cookie跟着链接一起向银行发起访问，这时银行看到有个访问过来，带着一个合法的通行证，目的是要转1000元给922222卡号，银行会认为这是授权过通行证的合法用户做一个转账操作，那就提交后台转吧。这样你什么都没做，点击一个链接就被转走1000了。
    整个过程利用的是一个叫CSRF（跨站请求伪造的）的网站漏洞原理，当然现在大型网站这样漏洞相对比较少了，得益于建站技术的规范和安全产品对漏洞的防护。
    希望更多朋友们通过比较浅显的描述了解一些安全小知识，加强安全防护意识。