CSRF (クロスサイトリクエストフォージェリ Cross-Site Request Forgery) は、信頼されたユーザーになりすまし、ウェブサイトに対して不正なコマンドを送信する攻撃です。例えば、どこかへ移動すると称したリンクの URL 内に、悪意のある引数を含めたりすることで実行されます。
<img src="https://www.example.com/index.php?action=delete&id=123">
https://www.example.com で何らかの権限を持ったユーザーでは、 <img> 要素が https://www.example.com の中になくても、気づかないうちに https://www.example.com への操作を実行してしまいます。
CSRF を防止するには、 RESTful API を使用する、セキュリティトークンを追加するなど、様々な方法があります。
詳細情報
一般知識
- Wikipedia 上の記事: クロスサイトリクエストフォージェリ
- Prevention measures
- MDN セキュリティチュートリアル