CSRF绕过后端Referer校验分正常情况和不正常的情况，我们这里主要讨论开发在写校验referer程序时，不正常的情况下怎么进行绕过。

CSRF，是跨站请求伪造（Cross Site Request Forgery）的缩写，是一种劫持受信任用户向服务器发送非预期请求的攻击方式。通常情况下，CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任

为了更好的防御CSRF，最佳实践应该是结合上面总结的防御措施方式中的优缺点来综合考虑，结合当前Web应用程序自身的情况做合适的选择，才能更好的预防CSRF的发生。

XSS跨站脚本攻击指攻击者在网页中嵌入客户端脚本,CSRF（XSRF）尽管听起来很想XSS跨站脚本攻击，但是它于XSS完全不同。SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。