引起原因：个人认为csrf在Ajax盛行的今天来说，倒是方便了，因为它可以在你不知道的情况用你的通过验证用户进行操作，所以也被称为浏览器劫持。如果你已通过某个网站的验证那么你将以你的角色对网站进行操作，比如你是管理员可以添加其它的用户到管理组，但是如果有人构造了添加管理员的链接被管理员点后也会执行相应操作.具体原因可参考lake2写的文章http://blog.csdn.net/lake2/archive/2008/04/02/2245754.aspx
解决方法：
在lake2的文章中也提出了。就是修改信息时添加验证码。或添加Session令牌（ASP.NET中已经提供一个自动防范的方法，就是用页面属性ViewStateUserKey.在Page_Init方法中设置其值。this.ViewStateUserKey=Session.SessionID）。