CSRF（クロスサイトリクエストフォージェリ）とは、
なんらかの方法で、ユーザーにリクエストを送信させることにより、ユーザーが意図しない処理を実行
させる攻撃手法のことです。

攻撃例としては、ユーザーのアカウントによる物品の購入や、
ユーザーの退会処理、ユーザーのアカウントによる掲示板等の書き込み、
ユーザーのパスワードやメールアドレスの変更などです。

これらを対策する方法として、セッションが使える場合は、
トークンを利用したチェックを行います。

以下例プログラム
`

<?php if (!isset($_SESSION['token'])) { $_SESSION['token'] = base64_encde(openssl_random_pseudo_byte(32)); } ?>

`

また、HTMLにトークンをフォームのhiddenフィールドに設定します。
<input type="hidden" name="token" value="<?php print htmlspecialchars($_SESSION['token'], ENT_QUTES, 'UTF-8'); ?>">

そして、処理ページでは、POSTされた隠しフィールドの値がサーバーに保存されて
いる値と一致した場合のみ処理を実行するようにします。

`

<?php if (!isset($_POST['token'])) { exit('不正な処理です'); } else if ($_POST['token': !== $_SESSION['token']) { exit('不正な処理です'); } ?>

`

このような実装を行うことで、トークンの値が攻撃者に知られない限り安全です。

しかし、XSSでの脆弱性が１つでもあれば、トークンによるCSRF対策を実装して
いたとしても、hiddenフィールドのトークンが盗まれてしまう可能性がありますので、
無効化される可能性もあります。