こんにちは！ 「フォームを勝手にサブミットしてしまう」 その認識でだいたいあってます！たぶん！ そのmixiの例だと、 入力画面 → (送信1) → 確認画面 → (送信2) → 完了 ってなるわけですが、 いくら確認画面が間にあったところで、 (送信2)の部分を「勝手にサブミット」しちゃえばいいわけです。 ※ただし今のmixiや、ちゃんとしたwebサービスは送信時にトークンをつけるとかCSRF対策してるのでできません 実際の攻撃の例としては、mixiやtwitterなどの多くの人が繋がっている投稿型サイトで、 「こんにちはこんにちは！！ このリンク先すごいよ！ http://～」 のような書き込みをしておき、 そのリンク先でformやJavaScript等で「自動的に勝手にサブミット」してしまいます。 画面には何も表示されなくてもかまいません。 そしてさらに勝手に書き込む内容を 「こんにちはこんにちは！！ このリンク先すごいよ！ http://～」 のようにしてしまうことで、まるでワーム型ウイルスのように、 友達の繋がりを通じて連鎖的に広がります。 他には、GETリクエストで何らかの処理をされてしまうwebアプリに対して imgタグやiframeなどで、誰かに「勝手にリクエストを送信させてしまう」 なんてのもCSRFの事例のひとつです。 こわいですね。 このあたりのことを漫画で解説しているサイトもあるので、 いちどご覧になってみてはいかがでしょうか！ http://gihyo.jp/dev/serial/01/hamachiya2/0001 絵がとってもかわいいですよ！ あ、あと動画もありました。 http://www.youtube.com/watch?v=TcXO6v8BS1g