CSRF
cross-site request forgeries
ログインしているサイトに対して、別のサイトから(cross-siteで)意図しないリクエスト(request forgery)を送る攻撃
AのサイトにログインしていてCookieにセッションIDが保存されているような時、悪意のあるBのサイトのフォームなどからAのサイトにリクエストを送るように仕掛けると、ブラウザからはちゃんとCookieが送出されてAのサイトは正規のリクエストとして処理してしまう
ログイン状態で行うような操作を勝手にされたりしてしまう
主な対策
セッションID以外の照合情報をやり取りして、偽のコンテンツから来たリクエストと区別できるようにする
CookieにSameSiteセットする
https://www.ipa.go.jp/security/vuln/vuln_contents/csrf.html