CSRF (межсайтовая подделка запроса)

Принуждение браузера жертвы выполнить действие на сайте, где она авторизована, без её ведома.

СигнатураCross-Site Request Forgery

CSRF использует то, что браузер автоматически прикладывает куки к запросам. Злоумышленник заставляет браузер жертвы отправить запрос (например смену пароля) на сайт, где она авторизована, и сервер принимает его как легитимный.

Как защититься: используйте CSRF-токены (уникальные для сессии и проверяемые на сервере), куки с атрибутом SameSite, проверку заголовков Origin/Referer для изменяющих запросов.

<!-- Безопасная форма с CSRF-токеном -->
<form method="POST" action="/change-email">
  <input type="hidden" name="csrf_token" value="a1b2c3d4">
  <input type="email" name="email">
  <button>Сохранить</button>
</form>
<!-- сервер сверяет csrf_token с сохранённым в сессии -->

← Все записи: Веб-уязвимости и защита