CSRF คืออะไร และคุณจะป้องกันมันอย่างไร?

Question

Accepted Answer

**CSRF (Cross-Site Request Forgery)** หลอกเบราว์เซอร์ของผู้ใช้ที่ล็อกอินอยู่ให้ส่ง **request ที่ไม่ต้องการ** ไปยังเว็บไซต์ที่พวกเขายืนยันตัวตนอยู่ เพื่อทำการกระทำ (การโอนเงิน การเปลี่ยนแปลง) โดยไม่ได้รับความยินยอม โดยใช้ประโยชน์จากการที่เบราว์เซอร์ส่ง credential/cookie โดยอัตโนมัติ ## CSRF ทำงานอย่างไร ```text The attack exploits that browsers AUTO-SEND cookies (incl. session cookies) with requests: 1. a user is LOGGED IN to a site (has a session cookie) 2. the user visits a MALICIOUS page (or clicks a crafted link) 3. that page makes a request to the target site (e.g. a hidden form auto-submitting) 4. the browser AUTOMATICALLY includes the user's session cookie → the site thinks it's a legitimate request from the user → performs the action (transfer money, change email) → the user unknowingly performs an action they didn't intend. ``` ```html ``` ## การป้องกัน ```text ✓ CSRF TOKENS → a unique, unpredictable token per session/form that the server verifies; the attacker's site can't know it → the forged request fails (the primary defense) ✓ SameSite COOKIES → SameSite=Lax/Strict → cookies NOT sent on cross-site requests → blocks CSRF (now a strong, default-ish browser defense) ✓ Check Origin/Referer headers; require re-authentication for sensitive actions ✓ Don't use GET for state-changing actions (use POST/PUT/DELETE properly) → Frameworks often provide CSRF protection built in — enable/use it. ``` ## ทำไมจึงสำคัญ การเข้าใจ CSRF และวิธีป้องกันมันมีคุณค่า เพราะมันเป็น **ช่องโหว่เว็บที่พบบ่อย** ที่ใช้ประโยชน์จากวิธีการทำงานของเบราว์เซอร์ ทำให้ผู้โจมตีทำการกระทำในนามของผู้ใช้ที่ยืนยันตัวตนแล้วได้ จึงเป็นความรู้ด้านความปลอดภัยที่สำคัญสำหรับนักพัฒนาเว็บ การเข้าใจ **ว่า CSRF ทำงานอย่างไร** การใช้ประโยชน์จากการที่เบราว์เซอร์ **ส่ง cookie โดยอัตโนมัติ** (รวมถึง session cookie) ไปกับ request ดังนั้นหน้าเว็บที่เป็นอันตรายจึงสามารถกระตุ้น request ไปยังเว็บไซต์ที่ผู้ใช้ล็อกอินอยู่ และเบราว์เซอร์จะแนบ session cookie ทำให้เว็บไซต์ปฏิบัติต่อ request ที่ปลอมแปลงนั้นเสมือนเป็นของจริงและทำการกระทำ (การโอนเงิน การเปลี่ยนแปลงบัญชี) โดยไม่ได้รับความยินยอมจากผู้ใช้ จำเป็นสำหรับการเข้าใจการโจมตีที่ละเอียดอ่อนแต่อันตรายนี้ CSRF อันตรายเพราะมันสามารถทำการกระทำที่ละเอียดอ่อนในนามของเหยื่อโดยที่พวกเขาไม่รู้ตัว และเป็นช่องโหว่เว็บที่พบบ่อย การเข้าใจ **การป้องกัน** เป็นเรื่องจำเป็น: **CSRF token** (token ที่ไม่ซ้ำและคาดเดาไม่ได้ต่อ session/form ที่เซิร์ฟเวอร์ตรวจสอบ ซึ่งเว็บไซต์ของผู้โจมตีไม่สามารถรู้ได้ ทำให้ request ที่ปลอมแปลงล้มเหลว เป็นการป้องกันหลักแบบดั้งเดิม) **SameSite cookie** (การตั้ง SameSite=Lax/Strict เพื่อไม่ให้ cookie ถูกส่งไปกับ cross-site request ซึ่งปัจจุบันเป็นการป้องกันระดับเบราว์เซอร์ที่แข็งแกร่งและเป็นค่าเริ่มต้นมากขึ้น) การตรวจสอบ header Origin/Referer การกำหนดให้ยืนยันตัวตนซ้ำสำหรับการกระทำที่ละเอียดอ่อน และการไม่ใช้ GET สำหรับการดำเนินการที่เปลี่ยนแปลงสถานะ การเข้าใจว่า **framework มักให้การป้องกัน CSRF มาในตัว** (ซึ่งควรเปิดใช้และใช้งาน) มีความสำคัญในทางปฏิบัติ การรวม CSRF token กับ SameSite cookie ให้การป้องกันที่แข็งแกร่ง เนื่องจาก CSRF เป็นช่องโหว่เว็บที่พบบ่อยซึ่งใช้ประโยชน์จากพฤติกรรมของเบราว์เซอร์เพื่อทำการกระทำที่ไม่ต้องการในนามของผู้ใช้ที่ยืนยันตัวตนแล้ว และเนื่องจากการเข้าใจว่ามันทำงานอย่างไรและจะป้องกันอย่างไร (CSRF token, SameSite cookie, การป้องกันของ framework) เป็นเรื่องสำคัญสำหรับนักพัฒนาเว็บ การเข้าใจ CSRF และการป้องกันจึงเป็นความรู้ด้านความปลอดภัยที่มีคุณค่าและเกี่ยวข้องในทางปฏิบัติ เป็นช่องโหว่เว็บที่สำคัญที่ต้องเข้าใจและป้องกัน ซึ่งการป้องกัน (CSRF token และ SameSite cookie) เป็นความรู้สำคัญในการปกป้องผู้ใช้จากการถูกหลอกให้ทำการกระทำที่ไม่ต้องการ เป็นกลุ่มการโจมตีที่โดดเด่นสำหรับเว็บแอปพลิเคชันใด ๆ ที่มีการดำเนินการที่เปลี่ยนแปลงสถานะและต้องยืนยันตัวตน