恶意网站针对用户可能登陆的某个站点实施跨站点攻击，在用户不知情情况下，让用户做了某些非本意的操作。

一般情况，服务端对每个请求除了验证session，还应对除特殊几个请求外的其它请求都验证请求中唯一标识。一般使用服务端返回的jsessionId放在请求中。

这个jsessionId存在于客户端浏览器的内存中，不知恶意网站js是否可以获取用户正在访问应用的这个jsessionId，若是可以，那不是恶意链接可以动态拼接这个jsessionId了，服务器还是会受到攻击。

跨站点的请求（web）