これで完璧！今さら振り返る CSRF 対策と同一オリジンポリシーの基礎 - Qiita

✎ 基礎知識編 CSRF とは何か？ CSRF (Cross-Site Request Forgeries) を意訳すると 「サイトを跨ぐ偽造リクエスト送信」 です。 簡単に言うと，罠サイトを踏んだ結果，自分が無関係な別のサイト上で勝手にアクションをさせられる攻撃です。具体的には，ネットサーフィンをしているうちに知らない間に自分のIPアドレスから掲示板に犯罪予告が書かれていた，といった被害を受けます。 この攻撃を防ぐ責任は「無関係な別のサイト（具体例では掲示板）」側にあります。Web サイト作成者には，利用者が意図しない操作を勝手に実行されないように，利用者を守る責任があります。 また上図からも分かる通り，この攻撃の最大の特徴はアカウントがハッキングされたというわけではないということです。ログイン状態の利用者のWebブラウザを利用して攻撃が行われている，というのが重要です。 オリジンとは何

[prograti]

分かりやすくまとまってますね。さらに深く知りたい方はこちらを読むと良いかと思います。 https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.md

[efcl]

CSRF対策とチェック方法。 CSRF対策だけに限った話

[n314]

php.iniにauto_csrf=1とか書いたらこの辺を自動でやってくれるようにならないものか。昔リンクの後ろに自動でセッションIDが追加されてたように、formの後ろに自動でhiddenを入れてくれてもいいような。

[buhoho]

CSRF対策でステートフルにトークン管理するのやりすぎだと思ってたので共感しか無い。Originチェックは良さそう！

[naga_sawa]

CSRF対策は何を守るのか/どう守るのか

[tmatsuu]

あとでもう一度読む

[n2s]

「JWT 認証を行う場合で且つ副作用を発生するエンドポイントがすべて認証必須の場合，別段 CSRF 対策を行わなくても自然に対策できているパターンが多いです」

[ohbarye]

すごくよくまとまっていて助かる、現代では推奨されない方法も提示しているのも良い

[yappynoppy]

“ステートレスで済むトークンを使わない方法は優秀ではありますが，Web ブラウザ自体に脆弱性が見つかった場合にでも比較的安全と言えるのはトークンを使った方法”Same-Site Cookie や Fetch Metadata といった新たな対策も