Что такое CSRF и как от него защищаться в веб-приложении? - Безопасность

A Атака через подмену запроса с другого сайта; защита - токены в формах и проверка Origin/Referer

B Внедрение SQL в запросы; защита - параметризация запросов

C Подмена заголовков браузера; защита - отключение JavaScript

D Кража cookie; защита - только HTTPS

Объяснение вопроса

CSRF (Cross-Site Request Forgery) - атака, при которой сайт злоумышленника заставляет браузер пользователя отправить запрос к вашему приложению. Браузер автоматически подставляет cookie сессии, и сервер считает запрос легитимным.

Защита: CSRF-токен - непредсказуемое значение, которое сервер выдает при отображении формы и проверяет при отправке. SameSite-атрибут у cookie (SameSite=Strict или Lax) дополняет защиту от CSRF.