Cross-Site Request Forgery (CSRF)

Ein Angriff, bei dem ein Benutzer ungewollt eine Aktion auf einer Webanwendung ausführt, bei der er authentifiziert ist. CSRF nutzt die Tatsache aus, dass Browser automatisch Sitzungs-Cookies mitsenden. Angreifer platzieren eine bösartige Datei (z. B. Bild-Tag, Formular) auf einer fremden Seite; beim Besuch löst der Browser unbefugt Aktionen im Kontext der Zielseite aus—etwa Geldüberweisungen oder Kontoänderungen. Schutzmechanismen umfassen synchronizer tokens (einzigartige, kryptographisch stabile Tokens, die bei jeder Formularübermittlung geprüft werden), SameSite-Cookie-Attribute sowie Double-Submit-Cookies, bei denen das Token sowohl im Cookie als auch als POST-Parameter vorliegen muss. Moderne Frameworks bieten oft integrierten CSRF-Schutz, der aktiviert werden sollte.