Cad is CSRF ann agus conas a bhraistint tú a dhíchosaint?

Question

Accepted Answer

**CSRF (Cross-Site Request Forgery)** - imirt a dhéanann sé ar bhraistint úsáideora atá logáilte isteach chun iarratas **neamhdhírithe** a dhéanamh ar shuíomh ina bhfuil siad fíordheimhnithe — gníomhartha a dhéanamh (aistriúcháin, athruithe) gan a dtolladh, ag soláthraí ar an bhféinchuid atá ag an mbrabhsálaí le creidiúintí/briosca a shéineadh go huathoibríoch. ## Conas a oibríonn CSRF ```text The attack exploits that browsers AUTO-SEND cookies (incl. session cookies) with requests: 1. a user is LOGGED IN to a site (has a session cookie) 2. the user visits a MALICIOUS page (or clicks a crafted link) 3. that page makes a request to the target site (e.g. a hidden form auto-submitting) 4. the browser AUTOMATICALLY includes the user's session cookie → the site thinks it's a legitimate request from the user → performs the action (transfer money, change email) → the user unknowingly performs an action they didn't intend. ``` ```html ``` ## Díchosaint ```text ✓ CSRF TOKENS → a unique, unpredictable token per session/form that the server verifies; the attacker's site can't know it → the forged request fails (the primary defense) ✓ SameSite COOKIES → SameSite=Lax/Strict → cookies NOT sent on cross-site requests → blocks CSRF (now a strong, default-ish browser defense) ✓ Check Origin/Referer headers; require re-authentication for sensitive actions ✓ Don't use GET for state-changing actions (use POST/PUT/DELETE properly) → Frameworks often provide CSRF protection built in — enable/use it. ``` ## Cén fáth a bhíonn sé tábhachtach Tá sé luachmhar CSRF a thuiscint agus conas a dhíchosaint a dhéanamh air toisc gur **galar gréine coiteann ar an ngréasán** atá ann agus go n-éilíonn sé ar an gcaoi ar fheidhmíonn brabhsálaithe, rud a bhailíonn do ghníomhaithe a dhéanamh mar úsáideoirí fíordheimhnithe, mar sin is tábhachtach an tsúim shlándála seo do fhorbróirí gréasáin. Tá sé riachtanach a thuiscint **conas a oibríonn CSRF** — ag soláthraí ar an bhféinchuid go gcuireann brabhsálaithe briosca go huathoibríoch (lena n-áirítear briosca seisiúin) le hiarratas, ionas gur féidir le leathanach drochthuarascáil iarratas a bhogadh ar shuíomh ina bhfuil an t-úsáideoir logáilte isteach, agus cuireann an brabhsálaí an biscéad seisiúin san áireamh, rud a dhéanann an suíomh an iarratas bréagach a chur i láthair mar dhílse agus an gníomh a dhéanamh (aistriúcháin, athruithe ar chuntas) gan toil an úsáideora — chun an ionsaí dhubhchruthaíoch seo a thuiscint. Tá CSRF dánaiseach toisc gur féidir leis gníomhartha mothúchán a dhéanamh mar an bhréosluichí gan a bhheith ar an eolas aici, agus is galar gréine coiteann ar an ngréasán atá ann. Tá sé riachtanach an **díchosaint** a thuiscint: **comhéifeachtaí CSRF** (comhréir uathúil, dodhéanta in aghaidh gach seisiúin/fhoirm a bhailíonn an freastalaí — ní féidir le suíomh an drochthuarascáil é a fhios a bheith aici, ionas go bhfuarthas iarratais bhréagacha; an phríomhdhifríonn i gcosaint dhúchais), **briosca SameSite** (SameSite=Lax/Strict a shocrú ionas nach gcuirtear briosca ar iarratas thar-suíomh, anois cosaint láidir ag leibhéal an bhraabhsálaí atá i ndon a bheith ina réamhshocrú), seiceáil ar cheannlínte Origin/Referer, fíordheimhniú athuair a dhéanamh ar ghníomhartha mothúchán, agus gan GET a úsáid ar oibríochtaí a athraíonn an stáit. Tá sé práinneach a thuiscint go **soláthraithe go minic cosaint CSRF ionsuite** (ar chóir a chur ar chumas agus a úsáid). Soláthraíonn an teaglaim de chomhéifeachtaí CSRF agus briosca SameSite cosaint láidir. O tharla gur galar gréine coiteann ar an ngréasán atá i CSRF agus go bhfuil sé ag soláthraí ar bhraistint úsáideora atá logáilte isteach chun gníomhartha neamhdhírithe a dhéanamh, agus ó tharla go bhfuil sé tábhachtach do fhorbróirí gréasáin a thuiscint conas a oibríonn sé agus conas a dhíchosaint a dhéanamh air (comhéifeachtaí CSRF, briosca SameSite, cosaint fhreimheach), tá CSRF agus a dhíchosaint ina bhíonn eolas slándála a bhíonn prainiciúil agus ábhartha — galar gréine suntasach le tuiscint agus a dhídheachainn i gcoinne a chur, áit a bhfuil an chaomhnaíochta (comhéifeachtaí CSRF agus briosca SameSite) ar eolas eolaíochta don chosaint ar úsáideoirí a bheith dall ar ghníomhartha neamhdhílse.