다른 사이트에서 우리 사이트의 api콜을 요청해 실행하는 공격이다.

api콜을 요청할 수 있는 클라이언트 도메인이 누구인지 서버에서 통제하고 있지 않다면 CSRF가 가능하다. (CORS 로 막을 수 있음)

이때 공격자가 클라이언트에 저장된 유저 인증정보를 서버에 보낼 수 있다면, 제대로 로그인한 것처럼 유저의 정보를 변경하거나 유저만 가능한 액션들을 수행할 수 있다.

CSRF 토큰?