如果你在本地用file打开网页可能有误差，因为file协议打开页面发送的http头有的网站是验证origin字段来防御csrf

ssrf：服务端请求伪造（相当一个跳板机，访问内网）

作用：1.可以配合一个类似于永恒之蓝这种nday使用；

 2.可以配合利用file协议等去读取一个文件内容：file:///etc/passwd;
 3.url=dnslog.com 看看能不能爆出一个ip地址，或者放上oa系统等

常见的ssrf常数：

share
wap
url
link
src
source
taiget
u
3g
display
sourceURL
domain
querylmageurl
slconurl
qrcodeurl

你在家里：
oa.a.com 打不开
www.a.com 打开 www.a.com?url=oa.a.com 回显oa页面

http://www.a.com?url=http://192.168.1.1
http://www.a.com?url=file:///etc/passwd

csrf: 跨站请求伪造（外网）

任意文件（读取/下载）
http://www.a.com?url=../../../../etc/passwd #上面不带一个协议
url跳转：(区别在于地址是否发生一个变化)
http://www.a.com?url=http://wwww.b.com-->;地址栏显示www.b.com