Co je CSRF a jak se tomu bránit?

Question

Accepted Answer

**CSRF (Cross-Site Request Forgery)** oklamá prohlížeč přihlášeného uživatele, aby prováděl **nechtěné požadavky** na web, kde je uživatel autentifikován — provádí akce (převody, změny) bez souhlasu uživatele, zneužívajíce automatické odesílání pověření/cookies prohlížečem. ## Jak CSRF funguje ```text The attack exploits that browsers AUTO-SEND cookies (incl. session cookies) with requests: 1. a user is LOGGED IN to a site (has a session cookie) 2. the user visits a MALICIOUS page (or clicks a crafted link) 3. that page makes a request to the target site (e.g. a hidden form auto-submitting) 4. the browser AUTOMATICALLY includes the user's session cookie → the site thinks it's a legitimate request from the user → performs the action (transfer money, change email) → the user unknowingly performs an action they didn't intend. ``` ```html ``` ## Prevence ```text ✓ CSRF TOKENS → a unique, unpredictable token per session/form that the server verifies; the attacker's site can't know it → the forged request fails (the primary defense) ✓ SameSite COOKIES → SameSite=Lax/Strict → cookies NOT sent on cross-site requests → blocks CSRF (now a strong, default-ish browser defense) ✓ Check Origin/Referer headers; require re-authentication for sensitive actions ✓ Don't use GET for state-changing actions (use POST/PUT/DELETE properly) → Frameworks often provide CSRF protection built in — enable/use it. ``` ## Proč je to důležité Rozmění si CSRF a jak se tomu bránit je cenné, protože jde o **běžnou webovou zranitelnost**, která zneužívá způsob, jakým fungují prohlížeče, a umožňuje útočníkům provádět akce jako autentifikovaní uživatelé, takže je důležité znát základy bezpečnosti pro web vývojáře. Rozmění si **jak CSRF funguje** — zneužívajíc toho, že prohlížeče **automaticky odesílají cookies** (včetně session cookies) s požadavky, takže škodlivá stránka může vyvolat požadavek na web, kde je uživatel přihlášen, a prohlížeč zahrne session cookie, čímž web považuje padělany požadavek za legitimní a provede akci (převody, změny účtu) bez vědomí uživatele — je nezbytné pochopit tento jemný, ale nebezpečný útok. CSRF je nebezpečný, protože může provádět citlivé akce jako oběť bez jejího vědomí, a je to běžná webová zranitelnost. Rozmění si **prevence** je nezbytné: **CSRF tokeny** (jedinečný, nepředvídatelný token na session/formulář, který server ověří — stránka útočníka ho nemůže znát, takže padělané požadavky selhají; primární tradiční obrana), **SameSite cookies** (nastavení SameSite=Lax/Strict, aby cookies nebyly odesílány na cross-site požadavky, nyní silná obrana na úrovni prohlížeče, která je stále více výchozí), kontrola Origin/Referer hlaviček, vyžadování opětovné autentifikace pro citlivé akce a nepoužívání GET pro operace mění stav. Rozmění si, že **frameworky často poskytují CSRF ochranu zabudovanou** (která by měla být zapnuta a používána) je prakticky důležité. Kombinace CSRF tokenů a SameSite cookies poskytuje robustní ochranu. Proto, že CSRF je běžná webová zranitelnost, která zneužívá chování prohlížeče k provádění nechtěných akcí jako autentifikovaní uživatelé, a protože pochopení toho, jak funguje a jak se tomu bránit (CSRF tokeny, SameSite cookies, ochrany frameworku) je důležité pro web vývojáře, pochopení CSRF a jeho prevence je cenné, prakticky relevantní bezpečnostní vědomí — důležitá webová zranitelnost k pochopení a obraně, kde obrany (CSRF tokeny a SameSite cookies) jsou klíčové vědomosti pro ochranu uživatelů před tím, aby byli oklamáni k nechtěným akcím, významná třída útoků pro jakoukoli webovou aplikaci s autentifikovanými stavově měnícími operacemi.