세션 보유
피해자는 정상 사이트에 로그인되어 쿠키를 가진다.
피해자가 로그인한 상태에서 공격 페이지가 요청을 만들면 브라우저가 쿠키를 자동 전송한다. 서버는 요청 의도를 별도로 검증해야 한다.
피해자는 정상 사이트에 로그인되어 쿠키를 가진다.
공격자가 만든 폼, 이미지, 스크립트가 요청을 만든다.
브라우저는 대상 도메인의 쿠키를 요청에 붙인다.
예측 불가능한 값과 출처 정보로 의도한 요청인지 확인한다.
공격 사이트가 알 수 없는 값을 상태 변경 요청에 포함한다.
교차 사이트 요청에서 쿠키 자동 첨부를 줄인다.
민감 기능은 허용된 출처의 요청만 처리한다.
CSRF는 사용자의 권한을 빌려 요청을 보내는 문제다.
상태 변경은 GET으로 처리하지 않는다.
계좌 변경 같은 중요 기능은 추가 인증을 요구한다.