Chrome 80(2020年)以降、Cookie の SameSite 属性のデフォルトが Lax になり、古典的な POST CSRF はブラウザレベルで自動的に防がれるようになりました。
ところが、うつろい EC は外部の決済サービス(beauty-pay.example)と iframe 連携しているため、決済フロー中に Cookie が必要。SameSite=Lax だと iframe 越しに Cookie が送信されないので、開発者はセッション Cookie に SameSite=None; Secure を設定した。
これにより古典的な CSRF 攻撃面が復活。攻撃者は罠サイトから cross-site で POST すれば、被害者の認証 Cookie が添付されてしまう。