Что такое CSRF protection?

CSRF (Cross-Site Request Forgery) — атака, когда злой сайт отправляет запрос от имени залогиненного пользователя (cookie отправляются автоматически). Защита: SameSite=Strict cookie (не отправляется с cross-origin запросов), CSRF токен (скрытое поле в форме, проверяется на сервере), double-submit cookie. В Go: gorilla/csrf middleware генерирует токен, вставляет в форму, проверяет при POST. Для SPA с bearer token CSRF не страшен — токен не отправляется автоматически.