Intro CSRF という古の攻撃がある。この攻撃を﹁古(いにしえ)﹂のものにすることができたプラットフォームの進化の背景を、﹁Cookie が SameSite Lax by Default になったからだ﹂という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、﹁CSRF がどうして成立していたのか﹂を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での﹁ベース﹂(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp