CSRF — выполнение действия на сайте от имени пользователя.
Механизм
Залогинились на bank.uz → переходите на hacker.com → форма скрытно отправляет POST на bank.uz.
CSRF токен
Hidden input с случайной строкой. Сервер проверяет.
SameSite cookies
Set-Cookie: SameSite=Strict.
Custom header
X-CSRF-Token для AJAX.
Framework
Laravel @csrf, Symfony.