CSRF

CSRF (クロスサイトリクエストフォージェリ Cross-Site Request Forgery) は、信頼されたユーザーになりすまし、ウェブサイトに対して不正なコマンドを送信する攻撃です。例えば、どこかへ移動すると称したリンクの URL 内に、悪意のある引数を含めたりすることで実行されます。

<img src="https://www.example.com/index.php?action=delete&id=123">

https://www.example.com で何らかの権限を持ったユーザーでは、 <img> 要素が https://www.example.com の中になくても、気づかないうちに https://www.example.com への操作を実行してしまいます。

CSRF を防止するには、 RESTful API を使用する、セキュリティトークンを追加するなど、様々な方法があります。

• Wikipedia 上の記事: クロスサイトリクエストフォージェリ
• Prevention measures
• MDN セキュリティチュートリアル