정의
로그인된 사용자의 브라우저를 속여, 사용자의 권한으로 악성 요청을 보내는 공격입니다.
예시
피해자가 로그인된 상태에서 공격자가 만든 링크 클릭 → 계정 정보 변경
위험성
비인가 송금, 게시글 삭제, 설정 변경 등 민감 요청이 실행됨
방어법
CSRF 토큰 사용, Referer/Origin 검증, SameSite 쿠키 설정
로그인된 사용자의 브라우저를 속여, 사용자의 권한으로 악성 요청을 보내는 공격입니다.
피해자가 로그인된 상태에서 공격자가 만든 링크 클릭 → 계정 정보 변경
비인가 송금, 게시글 삭제, 설정 변경 등 민감 요청이 실행됨
CSRF 토큰 사용, Referer/Origin 검증, SameSite 쿠키 설정