**CSRF(Cross-Site Request Forgery)**는 로그인한 사용자의 브라우저를 속여 그들이 인증된 사이트에 원치 않는 요청을 하게 만드는 것으로, 브라우저가 자격 증명/쿠키를 자동으로 전송하는 것을 악용하여 동의 없이 작업(이체, 변경)을 수행합니다.
CSRF가 작동하는 방식
이 공격은 브라우저가 요청과 함께 쿠키(session 쿠키 포함)를 AUTO-SEND하는 것을 악용한다:
1. 사용자가 사이트에 LOGGED IN되어 있음(session 쿠키 보유)
2. 사용자가 MALICIOUS 페이지를 방문(또는 조작된 링크 클릭)
3. 그 페이지가 대상 사이트에 요청을 보냄(예: 자동 제출되는 숨겨진 폼)
4. 브라우저가 사용자의 session 쿠키를 AUTOMATICALLY 포함 → 사이트는 그것이
사용자의 정당한 요청이라고 여김 → 작업 수행(송금, 이메일 변경)
→ 사용자가 모르게 의도하지 않은 작업을 수행한다.
