CSRF（クロスサイトリクエストフォージェリ）の説明として適切なものはどれか。

📝 解説

CSRF（Cross-Site Request Forgery：クロスサイトリクエストフォージェリ）は「ログイン中のユーザーが攻撃者の罠ページを閲覧するだけで、ユーザーの権限で意図しない操作（送金・パスワード変更・注文等）が実行される攻撃」です。印鑑と白紙の委任状に例えると、気づかないうちにユーザーの印鑑（認証済みセッション）を押した状態の書類（リクエスト）を攻撃者が勝手に提出してしまうイメージです。ブラウザはCookieを自動的にリクエストに添付するため、ログイン中のユーザーが罠ページのボタンをクリックしたり、罠サイトを開いただけで、ユーザーの認証情報を持ったリクエストが送信されます。対策の基本は①CSRFトークン（ワンタイムトークン）：フォームに推測不可能なトークンを埋め込み、サーバ側で検証する②SameSite Cookie属性（別サイトからのリクエストにCookieを添付しない）③重要操作前の再認証（パスワード確認）です。XSSとの混同に注意：XSSは「Webページに悪意のあるスクリプトを埋め込む」攻撃で、CSRFとは別物です。「CSRF＝ログイン中ユーザーに意図しないリクエストを実行させる・CSRFトークンが有効な対策」と覚えましょう！