Wikipediaより

攻撃の大まかな流れは以下の通り。

攻撃者が、攻撃用の Web ページを作成して WWW 上に公開する。
（WWW上ででなくとも、未対策のHTMLメーラーにウェブページをHTMLメールとして送信するだけでもよい。）
第三者が、攻撃用の Web ページにアクセスする。
第三者は、攻撃者が用意した任意の HTTP リクエストを送信させられる。
送信させられた HTTP リクエストによって、攻撃者の意図した操作が行われる。
（ここで「第三者」とは、被攻撃サイトに意図せずアクセスさせられると言う意味で用いている。）

要は名前がカッコイイ。