Cross-Site Request Forgery (CSRF) engaña al navegador para ejecutar acciones no deseadas en un sitio donde el usuario está autenticado.
Cómo funciona CSRF
El atacante crea un formulario o enlace en su sitio que apunta a una acción en tu sitio (cambiar email, transferir dinero). Las cookies se envían automáticamente.
Tokens CSRF
Token único por sesión o formulario. Incluido como campo oculto en formularios o header en requests AJAX. El servidor valida el token en cada mutación.
SameSite Cookies
SameSite=Strict: no se envían en ningún contexto cruzado. SameSite=Lax: se envían en navegación top-level (GET). SameSite=None + Secure: para terceros legítimos.
Defensa en capas
SameSite cookies + CSRF tokens + verificación de Origin/Referer header + métodos seguros (POST para mutaciones, no GET).

