Hva er CSRF og hvordan forhindrer du det?

Question

Accepted Answer

**CSRF (Cross-Site Request Forgery)** lurer en innlogget brukers nettleser til å gjøre **uønskede forespørsler** til et nettsted der de er autentisert — utfører handlinger (overføringer, endringer) uten deres samtykke, ved å utnytte at nettleseren automatisk sender legitimasjon/informasjonskapsler. ## Hvordan CSRF fungerer ```text The attack exploits that browsers AUTO-SEND cookies (incl. session cookies) with requests: 1. a user is LOGGED IN to a site (has a session cookie) 2. the user visits a MALICIOUS page (or clicks a crafted link) 3. that page makes a request to the target site (e.g. a hidden form auto-submitting) 4. the browser AUTOMATICALLY includes the user's session cookie → the site thinks it's a legitimate request from the user → performs the action (transfer money, change email) → the user unknowingly performs an action they didn't intend. ``` ```html ``` ## Forebygging ```text ✓ CSRF TOKENS → a unique, unpredictable token per session/form that the server verifies; the attacker's site can't know it → the forged request fails (the primary defense) ✓ SameSite COOKIES → SameSite=Lax/Strict → cookies NOT sent on cross-site requests → blocks CSRF (now a strong, default-ish browser defense) ✓ Check Origin/Referer headers; require re-authentication for sensitive actions ✓ Don't use GET for state-changing actions (use POST/PUT/DELETE properly) → Frameworks often provide CSRF protection built in — enable/use it. ``` ## Hvorfor det er viktig Å forstå CSRF og hvordan du forhindrer det er verdifullt fordi det er en **vanlig nettsvakhet** som utnytter hvordan nettlesere fungerer, slik at angripere kan utføre handlinger som autentiserte brukere, så det er viktig sikkerhetskunnskap for nettverksutviklere. Å forstå **hvordan CSRF fungerer** — utnytte at nettlesere **automatisk sender informasjonskapsler** (inkludert sesjonskakaer) med forespørsler, så en ondsinnet side kan utløse en forespørsel til et nettsted der brukeren er innlogget, og nettleseren inkluderer sesjonskakaen, noe som får nettstedet til å behandle den forfalskede forespørselen som legitim og utføre handlingen (overføringer, kontoendringer) uten brukerens samtykke — er nødvendig for å forstå dette subtile men farlige angrepet. CSRF er farlig fordi det kan utføre sensitive handlinger som offeret uten deres viten, og det er en vanlig nettsvakhet. Å forstå **forhindringen** er essensielt: **CSRF-tokens** (et unikt, uforutsigbart token per sesjon/skjema som serveren verifiserer — angriperens nettsted kan ikke kjenne til det, så forfalskede forespørsler mislykkes; det primære tradisjonelle forsvaret), **SameSite-kakaer** (setter SameSite=Lax/Strict slik at kakaer ikke sendes på tversideoversettelser, nå et sterkt nettleseravsnitt som er stadig mer standard), sjekking av Origin/Referer-headere, krever re-autentisering for sensitive handlinger, og ikke bruker GET for tilstandsendringshendelser. Å forstå at **rammeverk ofte gir CSRF-beskyttelse innebygd** (som bør aktiveres og brukes) er praktisk viktig. Kombinasjonen av CSRF-tokens og SameSite-kakaer gir robust beskyttelse. Ettersom CSRF er en vanlig nettsvakhet som utnytter nettleseratferd for å utføre uønskede handlinger som autentiserte brukere, og ettersom forståelse av hvordan det fungerer og hvordan du forhindrer det (CSRF-tokens, SameSite-kakaer, rammeverksbeskyttelser) er viktig for nettverksutviklere, er forståelse av CSRF og dets forebygging verdifullt, praktisk relevant sikkerhetskunnskap — en viktig nettsvakhet å forstå og forsvare seg mot, der forsvarene (CSRF-tokens og SameSite-kakaer) er nøkkelkunnskap for å beskytte brukere fra å bli lurt til uønskede handlinger, en bemerkelsesverd angrepklasse for alle nettapplikasjoner med autentisert tilstandsendringshendelser.