Detalhando o tipo de ataque como comentado pelo Marcelo.
Cross Site Request Forgery (CSRF), também conhecido como XSRF, Sea Surf ou Session Riding, é um vetor de ataque que aplica um truque no navegador web, fazendo com que ele execute uma ação indesejada na aplicação web alvo onde a vítima está logada.
Cross Site Request Forgery é conduzido tipicamente com a ajuda da engenharia social, onde o atacante envia um email contendo um link para a vítima. Link esse que ao ser clicado realiza uma requisição forjada para a aplicação web alvo. Como a vítima provavelmente estará autenticada na aplicação alvo na hora do ataque, é impossível que a aplicação web alvo consiga distinguir entre uma requisição legítima de uma requisição forjada.
.: Como se proteger de Cross Site Request Forgery?
Existem várias formas de prevenção. Do ponto de vista do usuário as melhores práticas são:
Realizar o logoff de aplicações web que não estão sendo utilizadas
Proteger nomes de usuários e senhas
Evitar utilizar a opção de auto login que muitos sites oferecem
Evitar navegar em vários sites simultaneamente, enquanto estiver logado em outros sites
Já do ponto de vista do programador a utilização de tokens únicos para cada requisição gerada, impede que esse tipo de ataque ocorra. É bom lembrar que, se o atacante conseguir prever o próximo token a ser gerado, voltamos a estaca zero.
https://www.infosec.com.br/pt/cross-site-request-forgery/