CSRF: атака и защита

Cross-Site Request Forgery – атака, при которой злоумышленник заставляет браузер жертвы выполнить нежелательный запрос к доверенному сайту (используя сохраненную сессию жертвы). Защита: CSRF-токены (уникальные секреты в формах, проверяемые сервером), SameSite=Lax/Strict куки, проверка Origin/Referer заголовков на сервере. Эти меры гарантируют, что запрос пришёл от легитимной страницы.