Leistungen

AI & Agentic Systems Core Information Systems Cloud & Platform Engineering Data Platform & Integration Security & Compliance QA, Testing & Observability IoT, Automation & Robotics Mobile & Digital

Branchen

Banking & Finance Insurance Public Administration Defense & Security Healthcare Energy & Utilities Telco & Media Manufacturing Logistics & E-commerce Retail & Loyalty

Referenzen Technologien

Lab

Blog Know-how Tools

Über uns Zusammenarbeit Karriere

CS EN DE

Lassen Sie uns sprechen

CSRF ochrana — Cross-Site Request Forgery

03. 12. 2023 1 Min. Lesezeit intermediate

CSRF útok přinutí přihlášeného uživatele provést nechtěnou akci. Prohlížeč automaticky přiloží cookies, útočník toho využívá.

Jak CSRF funguje¶

Uživatel přihlášen na bank.com. Navštíví evil.com se skrytým formulářem, který odešle POST na bank.com/transfer. Prohlížeč přiloží session cookie.

Obrana: CSRF Token + SameSite¶

Django — vestavěná ochrana:¶

Express.js¶

const csrf = require(‘csurf’); app.use(csrf({ cookie: true }));

Set-Cookie: session=abc; SameSite=Lax; Secure; HttpOnly

Moderní přístup¶

SameSite=Lax je default v moderních prohlížečích
CSRF token pro state-changing operace
API s Bearer token v Authorization headeru je imunní vůči CSRF

Klíčový takeaway¶

SameSite=Lax + CSRF tokeny pro formuláře. API s Bearer tokenem je proti CSRF imunní.

securitycsrfweb

Teilen:

CORE SYSTEMS tým

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Alle Artikel

Mehr Know-how

OWASP Top 10 — bezpecnost webovych aplikaci

OWASP doporuceni v Java EE. SQL injection, XSS, CSRF a jak se branit.

WAF konfigurace — Web Application Firewall

ModSecurity, AWS WAF, Cloudflare WAF. Pravidla a false positives.

Burp Suite základy — web security testing

Jak používat Burp Suite pro testování webových aplikací.