Cross-Site Request Forgery - запрос от имени пользователя с другого сайта. Защита: CSRF-токен в формах и проверка на сервере; SameSite cookie; проверка Origin/Referer. Токен привязан к сессии.