CSRF
CSRF — это тип атаки, при которой злоумышленник заставляет браузер пользователя выполнить нежелательное действие на сайте, где пользователь уже авторизован.
Представьте, что вы оставили дверь в свою квартиру приоткрытой, а ваш знакомый, имеющий дубликат ключей, заходит внутрь и переставляет мебель, пока вы этого не видите. В мире веба CSRF (Cross-Site Request Forgery) работает так же: сайт-злоумышленник отправляет скрытый запрос на другой ресурс, где вы уже залогинены, и сервер думает, что это действие совершили вы сами.
Это происходит потому, что браузер автоматически прикрепляет ваши данные для входа (например, Cookie) к любому запросу на нужный сайт. Сервер видит знакомые «ключи» и выполняет команду — будь то перевод денег или смена пароля — даже если вы не нажимали кнопку на официальной странице.
Зачем это нужно
Для вайбкодера важно понимать CSRF, чтобы защищать свои приложения. Если вы используете готовые фреймворки, они часто имеют встроенную защиту, но важно знать, как она работает, чтобы случайно не отключить её при настройке API или аутентификации.