Что такое CSRF и как его предотвратить?

Question

Accepted Answer

**CSRF (Cross-Site Request Forgery)** заставляет браузер вошедшего в систему пользователя совершать **нежелательные запросы** к сайту, где пользователь аутентифицирован — выполняя действия (переводы, изменения) без согласия пользователя, используя механизм автоматической отправки браузером учётных данных/cookies. ## Как работает CSRF ```text The attack exploits that browsers AUTO-SEND cookies (incl. session cookies) with requests: 1. a user is LOGGED IN to a site (has a session cookie) 2. the user visits a MALICIOUS page (or clicks a crafted link) 3. that page makes a request to the target site (e.g. a hidden form auto-submitting) 4. the browser AUTOMATICALLY includes the user's session cookie → the site thinks it's a legitimate request from the user → performs the action (transfer money, change email) → the user unknowingly performs an action they didn't intend. ``` ```html ``` ## Предотвращение ```text ✓ CSRF TOKENS → a unique, unpredictable token per session/form that the server verifies; the attacker's site can't know it → the forged request fails (the primary defense) ✓ SameSite COOKIES → SameSite=Lax/Strict → cookies NOT sent on cross-site requests → blocks CSRF (now a strong, default-ish browser defense) ✓ Check Origin/Referer headers; require re-authentication for sensitive actions ✓ Don't use GET for state-changing actions (use POST/PUT/DELETE properly) → Frameworks often provide CSRF protection built in — enable/use it. ``` ## Почему это важно Понимание CSRF и способов его предотвращения ценно, поскольку это **распространённая уязвимость веб-приложений**, которая эксплуатирует особенности работы браузеров, позволяя злоумышленникам выполнять действия от имени аутентифицированных пользователей, поэтому это важное знание в области безопасности для веб-разработчиков. Понимание **принципа работы CSRF** — использование того факта, что браузеры **автоматически отправляют cookies** (включая cookies сессии) вместе с запросами, поэтому вредоносная страница может инициировать запрос к сайту, где пользователь вошёл в систему, и браузер включит cookie сессии, заставляя сайт трактовать поддельный запрос как легитимный и выполнить действие (переводы, изменения учётной записи) без согласия пользователя — необходимо для понимания этой тонкой, но опасной атаки. CSRF опасен, потому что может выполнять чувствительные действия от имени жертвы без её ведома, и это распространённая уязвимость веб-приложений. Понимание **методов предотвращения** критично: **CSRF токены** (уникальный, непредсказуемый токен для каждой сессии/формы, который проверяет сервер — вредоносный сайт не может его узнать, поэтому поддельные запросы отклоняются; основной традиционный механизм защиты), **SameSite cookies** (установка SameSite=Lax/Strict, чтобы cookies не отправлялись при кросс-сайтовых запросах, современная защита на уровне браузера, становящаяся стандартом), проверка заголовков Origin/Referer, требование повторной аутентификации для чувствительных операций и неиспользование GET для операций, изменяющих состояние. Понимание того, что **фреймворки часто имеют встроённую защиту от CSRF** (которую следует включать и использовать), имеет практическое значение. Сочетание CSRF токенов и SameSite cookies обеспечивает надёжную защиту. Поскольку CSRF — распространённая уязвимость веб-приложений, использующая особенности поведения браузера для выполнения нежелательных действий от имени аутентифицированных пользователей, и поскольку понимание того, как она работает и как её предотвратить (CSRF токены, SameSite cookies, защита фреймворков), является важным для веб-разработчиков, понимание CSRF и её предотвращения представляет ценное, практически значимое знание в области безопасности — важный класс атак для понимания и защиты от него, где методы защиты (CSRF токены и SameSite cookies) являются ключевым знанием для защиты пользователей от попадания в ловушку нежелательных действий, заметный класс атак для любого веб-приложения с аутентифицированными операциями, изменяющими состояние.