При каких механизмах авторизации существует опасность CSRF атаки?

Question

CSRF-атаки возможны, когда сайт автоматически отправляет учетные данные (например, куки сессии) без подтверждения пользователя. Основные риски — обычные куки, Basic Auth и автоматическая привязка токенов к запросам.

YeaHub · Accepted Answer

CSRF (Cross-Site Request Forgery) — это атака, при которой злоумышленник заставляет браузер жертвы выполнять нежелательные запросы к доверенному сайту. Уязвимы механизмы, где:Куки сессии — браузер автоматически прикрепляет их к каждому запросу.Basic Auth — если логин/пароль кэшируются браузером.Автоматические токены — например, в hidden-полях форм без дополнительных проверок.Как защититься:Использовать CSRF-токены (генерируются сервером и проверяются для каждого POST/PUT/DELETE).Задавать кукам атрибут SameSite=Strict или Lax.Для API применять OAuth 2.0 с Proof Key for Code Exchange (PKCE).Пример CSRF-токена в форме: