Wat is CSRF en hoe voorkom je het?

Question

Accepted Answer

**CSRF (Cross-Site Request Forgery)** bedriedt de browser van een ingelogde gebruiker om **ongewenste verzoeken** naar een site te sturen waar zij zijn geverifieerd — acties uitvoeren (overdrachten, wijzigingen) zonder toestemming, door misbruik te maken van het automatische versturen van gegevens/cookies door de browser. ## Hoe CSRF werkt ```text The attack exploits that browsers AUTO-SEND cookies (incl. session cookies) with requests: 1. a user is LOGGED IN to a site (has a session cookie) 2. the user visits a MALICIOUS page (or clicks a crafted link) 3. that page makes a request to the target site (e.g. a hidden form auto-submitting) 4. the browser AUTOMATICALLY includes the user's session cookie → the site thinks it's a legitimate request from the user → performs the action (transfer money, change email) → the user unknowingly performs an action they didn't intend. ``` ```html ``` ## Preventie ```text ✓ CSRF TOKENS → a unique, unpredictable token per session/form that the server verifies; the attacker's site can't know it → the forged request fails (the primary defense) ✓ SameSite COOKIES → SameSite=Lax/Strict → cookies NOT sent on cross-site requests → blocks CSRF (now a strong, default-ish browser defense) ✓ Check Origin/Referer headers; require re-authentication for sensitive actions ✓ Don't use GET for state-changing actions (use POST/PUT/DELETE properly) → Frameworks often provide CSRF protection built in — enable/use it. ``` ## Waarom het belangrijk is Inzicht in CSRF en hoe je het voorkomt is waardevol omdat het een **veelvoorkomende webkwetsbaarheid** is die misbruik maakt van hoe browsers werken, zodat aanvallers acties kunnen uitvoeren als geverifieerde gebruikers. Het is dus belangrijke beveiligingskennis voor webontwikkelaars. Inzicht in **hoe CSRF werkt** — misbruik makend van het feit dat browsers **automatisch cookies** (inclusief sessioncookies) metsturen met verzoeken, zodat een kwaadaardige pagina een verzoek naar een site kan veroorzaken waar de gebruiker is ingelogd, en de browser stuurt de sessioncookie mee, waardoor de site het vervalste verzoek als legitiem behandelt en de actie (overdrachten, accountwijzigingen) zonder toestemming van de gebruiker uitvoert — is nodig om deze subtiele maar gevaarlijke aanval te begrijpen. CSRF is gevaarlijk omdat het gevoelige acties als het slachtoffer zonder hun medeweten kan uitvoeren, en het is een veelvoorkomende webkwetsbaarheid. Inzicht in de **preventie** is essentieel: **CSRF-tokens** (een uniek, onvoorspelbaar token per sessie/formulier dat de server verifieert — de site van de aanvaller kan het niet kennen, dus vervalste verzoeken mislukken; de primaire traditionele verdediging), **SameSite-cookies** (SameSite=Lax/Strict instellen zodat cookies niet op cross-site verzoeken worden verzonden, nu een sterke browserdefense die steeds vaker standaard is), het controleren van Origin/Referer headers, het vereisen van herauthenticatie voor gevoelige acties, en het niet gebruiken van GET voor staatveranderende operaties. Inzicht in het feit dat **frameworks vaak ingebouwde CSRF-bescherming bieden** (die moet worden ingeschakeld en gebruikt) is praktisch belangrijk. De combinatie van CSRF-tokens en SameSite-cookies biedt robuuste bescherming. Omdat CSRF een veelvoorkomende webkwetsbaarheid is die misbruik maakt van browsergedrag om ongewenste acties als geverifieerde gebruikers uit te voeren, en omdat het begrijpen van hoe het werkt en hoe je het voorkomt (CSRF-tokens, SameSite-cookies, frameworkbescherming) belangrijk is voor webontwikkelaars, is het begrijpen van CSRF en de preventie ervan waardevol, praktisch relevante beveiligingskennis — een belangrijke aanvalsklasse om te begrijpen en te verdedigen voor elke webapplicatie met geverifieerde staatveranderende operaties.