რა არის CSRF და როგორ გაიცავით მას?

Question

Accepted Answer

**CSRF (ჯვარედინი საიტის მოთხოვნის დამყარება)** მოტყუებულ ავტორიზებული მომხმარებლის ბრაუზერს **უმიზეზო მოთხოვნების** შესრულებაში, სადაც ისინი აუთენტიკატივი არიან — მოქმედებების შესრულება (გადაცემები, ცვლილებები) მათი თანხმობის გარეშე, ბრაუზერის ავტომატური გამოგზავნის გამოყენებით რწმენა/ფუნთუშები. ## როგორ მუშაობს CSRF ```text The attack exploits that browsers AUTO-SEND cookies (incl. session cookies) with requests: 1. a user is LOGGED IN to a site (has a session cookie) 2. the user visits a MALICIOUS page (or clicks a crafted link) 3. that page makes a request to the target site (e.g. a hidden form auto-submitting) 4. the browser AUTOMATICALLY includes the user's session cookie → the site thinks it's a legitimate request from the user → performs the action (transfer money, change email) → the user unknowingly performs an action they didn't intend. ``` ```html ``` ## პრევენცია ```text ✓ CSRF TOKENS → a unique, unpredictable token per session/form that the server verifies; the attacker's site can't know it → the forged request fails (the primary defense) ✓ SameSite COOKIES → SameSite=Lax/Strict → cookies NOT sent on cross-site requests → blocks CSRF (now a strong, default-ish browser defense) ✓ Check Origin/Referer headers; require re-authentication for sensitive actions ✓ Don't use GET for state-changing actions (use POST/PUT/DELETE properly) → Frameworks often provide CSRF protection built in — enable/use it. ``` ## რატომ მნიშვნელოვანია ეს CSRF-ის გაგება და მისი პრევენცია ღირებული იმიტომ, რომ ეს **საერთო ვებ-სიმართივე**, რომელიც აკვეთს, როგორ მუშაობს ბრაუზერები, რაც გამომწვეველებს აძლევს აუთენტიკატივი მომხმარებლების ნამდვილად მოქმედებების შესრულების საშუალებას, ამიტომ ეს მნიშვნელოვანი უსაფრთხოების ცოდნაა ვებ-დეველოპერებისთვის. გაგება **როგორ მუშაობს CSRF** — გამოყენების, რომ ბრაუზერები **ავტომატურად აგზავნიან ფუნთუშებს** (მათ შორის სესიის ფუნთუშები) მოთხოვნებთან, ამიტომ ავიწაბული გვერდი შეგიძლია გამოიწვიოს მოთხოვნა მის საიტზე, სადაც მომხმარებელი ავტორიზებული არის, და ბრაუზერი აერთიანებს სესიის ფუნთუშს, რაც საიტს ხდის გაკეთებული მოთხოვნას ლეგიტიმური და შეასრულებს მოქმედებას (გადაცემები, ანგარიშის ცვლილებები) მომხმარებლის თანხმობის გარეშე — აუცილებელია ამ დახვეწილი მაგრამ საშიში თავდასხმის გასაგებად. CSRF საშიშია, რადგან ის შეიძლება შეასრულოს მგრძნობიარე მოქმედებები მსხვერპლის სახელით მათი ცოდნის გარეშე, და ეს საერთო ვებ-სიმართივეა. გაგება **პრევენცია** აუცილებელია: **CSRF ტოკენები** (უნიკალური, წინასწარ უპროგნოზირებელი ტოკენი თითოეული სესიის/ფორმისთვის, რომელსაც სერვერი ხელმოწერს — გამომწვევლის საიტი ვერ იცის, ამიტომ გაკეთებული მოთხოვნები ჩავარდებიან; ძირითადი ტრადიციული თავდაცვა), **SameSite ფუნთუშები** (SameSite=Lax/Strict დაყენება ისე, რომ ფუნთუშები არ იყოს გამოგზავნილი ჯვარედინი საიტის მოთხოვნებთან, ახლა ძლიერი ბრაუზერის დონის თავდაცვა, რომელიც სულ უფრო ნაგულისხმებია), Origin/Referer თავსართის შემოწმება, მგრძნობიარე მოქმედებებისთვის ხელახლა აუთენტიკაციის მოთხოვნა და GET-ის გამოუყენება მდგომარეობის ცვლილების ოპერაციებისთვის. გაგება, რომ **სტანდარტები ხშირად უზრუნველყოფენ CSRF თავდაცვას ჩაკეტილია** (რომელიც უნდა იყოს ჩართული და გამოიყენებული) პრაქტიკულად მნიშვნელოვანია. CSRF ტოკენებისა და SameSite ფუნთუშების კომბინაცია უზრუნველყოფს მტკიცე თავდაცვას. ვინაიდან CSRF საერთო ვებ-სიმართივე ბრაუზერის ქცევის გამოყენება უმიზეზო მოქმედებების შესრულებისთვის აუთენტიკატივი მომხმარებლების სახელით, და რადგან გაგება როგორ მუშაობს ეს და როგორ გაიცავით მას (CSRF ტოკენები, SameSite ფუნთუშები, სტანდარტის თავდაცვა) მნიშვნელოვანია ვებ-დეველოპერებისთვის, CSRF-ის გაგება და მისი პრევენცია ღირებული, პრაქტიკულად შესაბამისი უსაფრთხოების ცოდნა — მნიშვნელოვანი ვებ-სიმართივე გასაგებად და თავდაცვისთვის, სადაც თავდაცვა (CSRF ტოკენები და SameSite ფუნთუშები) ძირითადი ცოდნაა მომხმარებელთა დაცვისთვის მოტყუების მოთხოვნებიდან, თავდასხმის შესაბამისი კლასი ნებისმიერი ვებ აპლიკაციისთვის აუთენტიკატივი მდგომარეობის ცვლილების ოპერაციებთან.