브라우저가 쿠키를 자동으로 붙여 보내는 성질 때문에, 서버는 요청의 의도와 출처를 별도로 확인해야 한다.
공격 페이지사용자 브라우저로 피해 사이트에 요청을 만들 수 있다.브라우저 판단SameSite 조건에 따라 쿠키 전송 여부를 결정한다.서버 검증Origin, Referer, CSRF token, 메서드 안전성을 확인한다.상태 변경검증된 요청만 장바구니, 송금, 설정 변경을 수행한다.SameSite=Lax많은 크로스사이트 POST를 줄이지만 모든 우회를 막지는 않는다.CSRF token사용자 의도를 서버가 확인할 수 있는 별도 값을 둔다.Origin 검증중요한 상태 변경 요청은 출처를 함께 확인한다.