ما هو CSRF وكيف تمنعه؟

Question

Accepted Answer

**CSRF (Cross-Site Request Forgery)** يخدع متصفح المستخدم المسجل دخوله ليقوم بـ **طلبات غير مرغوب فيها** إلى موقع مصرح فيه — تنفيذ إجراءات (تحويلات، تغييرات) بدون موافقته، مستغلاً إرسال المتصفح التلقائي للبيانات الاعتماديّة/الكوكيز. ## كيف يعمل CSRF ```text The attack exploits that browsers AUTO-SEND cookies (incl. session cookies) with requests: 1. a user is LOGGED IN to a site (has a session cookie) 2. the user visits a MALICIOUS page (or clicks a crafted link) 3. that page makes a request to the target site (e.g. a hidden form auto-submitting) 4. the browser AUTOMATICALLY includes the user's session cookie → the site thinks it's a legitimate request from the user → performs the action (transfer money, change email) → the user unknowingly performs an action they didn't intend. ``` ```html ``` ## الوقاية ```text ✓ CSRF TOKENS → a unique, unpredictable token per session/form that the server verifies; the attacker's site can't know it → the forged request fails (the primary defense) ✓ SameSite COOKIES → SameSite=Lax/Strict → cookies NOT sent on cross-site requests → blocks CSRF (now a strong, default-ish browser defense) ✓ Check Origin/Referer headers; require re-authentication for sensitive actions ✓ Don't use GET for state-changing actions (use POST/PUT/DELETE properly) → Frameworks often provide CSRF protection built in — enable/use it. ``` ## لماذا يهم فهم CSRF وكيفية منعه قيّم لأنها **ثغرة ويب شائعة** تستغل طريقة عمل المتصفحات، مما يسمح للمهاجمين بتنفيذ إجراءات كمستخدمين مصرحين، لذلك فهمها معرفة أمان مهمة لمطوري الويب. فهم **كيف يعمل CSRF** — استغلال أن المتصفحات **ترسل الكوكيز تلقائياً** (بما فيها كوكيز الجلسة) مع الطلبات، بحيث يمكن لصفحة خبيثة أن تشغّل طلباً إلى موقع حيث يكون المستخدم مسجل دخول، والمتصفح يتضمن كوكي الجلسة، مما يجعل الموقع يتعامل مع الطلب المزيف كشرعي وينفذ الإجراء (التحويلات، تغييرات الحساب) بدون موافقة المستخدم — ضروري لفهم هذا الهجوم الدقيق لكن الخطير. CSRF خطير لأنه يمكنه تنفيذ إجراءات حساسة كضحية بدون معرفتها، وهو ثغرة ويب شائعة. فهم **الوقاية** ضروري: **رموز CSRF** (رمز فريد وغير متنبأ به لكل جلسة/نموذج يتحقق منه الخادم — موقع المهاجم لا يمكنه معرفته، لذلك تفشل الطلبات المزيفة؛ الدفاع التقليدي الأساسي)، **كوكيز SameSite** (ضبط SameSite=Lax/Strict حتى لا تُرسل الكوكيز مع الطلبات عبر المواقع، الآن دفاع قوي على مستوى المتصفح يصبح أكثر اعتماداً)، التحقق من رؤوس Origin/Referer، مطالبة إعادة المصادقة للإجراءات الحساسة، وعدم استخدام GET للعمليات التي تغير الحالة. فهم أن **الأطر تقدم حماية CSRF مدمجة** (يجب تفعيلها واستخدامها) مهم عملياً. الجمع بين رموز CSRF وكوكيز SameSite يوفر حماية قوية. بما أن CSRF ثغرة ويب شائعة تستغل سلوك المتصفح لتنفيذ إجراءات غير مرغوب فيها كمستخدمين مصرحين، وبما أن فهم كيفية عملها وكيفية منعها (رموز CSRF، كوكيز SameSite، حماية الأطر) مهم لمطوري الويب، فإن فهم CSRF ووقايته معرفة أمان قيمة وعملية وذات صلة — ثغرة ويب مهمة للفهم والدفاع عنها، حيث الدفاعات (رموز CSRF وكوكيز SameSite) معرفة أساسية لحماية المستخدمين من الخداع للقيام بإجراءات غير مرغوب فيها، فئة هجوم بارزة لأي تطبيق ويب بعمليات تغيير حالة مصرحة.