ログイン状態の利用者を罠サイトへ誘導し、本人の意図と無関係なリクエスト(退会・パスワード変更・送金など)をこっそり送らせる攻撃です。ブラウザが自動でCookieを送る仕組みを悪用します。
本人が気づかないうちに設定変更・購入・送金などが実行されます。管理機能に対して成立すると、被害が一気に広がります。
各フォームに推測困難なCSRFトークンを埋め込み、受信時に検証しているかを確認します。Cookieの SameSite 属性も有効な対策です。
URLを入れるだけ。登録不要で、外から見える弱点をその場でスコア表示します。
無料で健診する