クロスサイトリクエストフォージェリ（CSRF）（CSRF）

クロスサイトリクエストフォージェリ（CSRF）とは、ひとことで言えば、認証済みのユーザーに気づかれないまま、意図しないリクエストを強制的に送信させる攻撃手法です。たとえば、ネットバンキングにログイン中のユーザーが攻撃者の用意した罠サイトを閲覧すると、裏側で送金リクエストが自動送信され、ユーザーの口座から不正に振り込みが行われます。ユーザーの正規のセッションとCookieを悪用するため、サーバ側からは正当なリクエストと区別しにくいのが特徴です。対策としては、CSRFトークン（ワンタイムトークン）の埋め込み、SameSite Cookie属性の設定、重要な操作での再認証要求が有効です。XSSが「スクリプトを実行させる」攻撃であるのに対し、CSRFは「正規のリクエストを偽造する」攻撃です。