CSRF - 사이트 간 변경 위조
<form action="http://bank.com/transfer.do" method="POST">
<input type="hidden" name="acct" value="MARIA"/>
<input type="hidden" name="amount" value="100000"/>
<input type="submit" value="View my pictures"/>
</form>
=> 간혹 외국 사이트를 이용하거나 웹서핑을 하다 보면?? 흔치는 않지만 이상한 사이트에서 아이폰 공짜로 준다고 하면서 로그인을 요구하거나 그러는 경우가 있다. 그런 사이트에서 로그인을 하게 된다면, 위 코드처럼 POST 요청을 바로 때려서 계좌이체나 유저가 원치 않은 행위를 시킬 수 있다는 것이다. 그렇기 때문에 CSRF 대비용 토큰이나 보안 정책을 하나 더 대비하는 것이 좋다. CSRF 토큰은 서버에서 세션으로 물고 있는 것이 좋다.