CSRFしーえすあーるえふ

CSRF（Cross-Site Request Forgery、クロスサイトリクエストフォージェリ）は、ログイン中ちゅうのユーザを罠わなページに誘導ゆうどうし、本人ほんにんの意思いしに関係かんけいなく元もとサイトへの操作そうさリクエストを送おくらせる攻撃こうげきです。

観点かんてん	CSRF	XSS
実行じっこうされる場所ばしょ	元もとサイトのサーバ	訪問ほうもん者しゃのブラウザ
主おもな被害ひがい	送金そうきん・購入こうにゅうなど意図いとしない操作そうさ	セッション窃取せっしゅ・偽にせフォーム
主おもな対策たいさく	CSRF トークン・SameSite Cookie	出力しゅつりょくエスケープ・CSP

たとえばログイン中ちゅうのユーザが罠わなリンクを踏ふむと、本人ほんにんの権限けんげんで勝手かってに送金そうきんリクエストが送おくられます。名前なまえが似にた XSS とは別べつ問題もんだいで、対策たいさく方法ほうほうも異ことなります。

試験しけんでは CSRF と XSS の違ちがい（実行じっこう場所ばしょ・対策たいさく）を取とり違ちがえない点てんが頻出ひんしゅつです。CSRF の対策たいさくは CSRF トークンです。