CSRF là gì và làm thế nào để phòng ngừa nó?

Question

Accepted Answer

**CSRF (Cross-Site Request Forgery)** lừa trình duyệt của người dùng đã đăng nhập thực hiện các **request không mong muốn** tới một site mà họ đã được xác thực — thực hiện hành động (chuyển tiền, thay đổi) mà không có sự đồng ý của họ, khai thác việc trình duyệt tự động gửi credentials/cookies. ## CSRF hoạt động như thế nào ```text Tấn công khai thác việc trình duyệt TỰ ĐỘNG GỬI cookies (bao gồm session cookies) với request: 1. một người dùng ĐÃ ĐĂNG NHẬP vào một site (có session cookie) 2. người dùng truy cập một trang ĐỘC HẠI (hoặc nhấp vào một link được tạo thủ công) 3. trang đó thực hiện một request tới site mục tiêu (ví dụ một form ẩn tự động submit) 4. trình duyệt TỰ ĐỘNG đính kèm session cookie của người dùng → site nghĩ đó là một request hợp lệ từ người dùng → thực hiện hành động (chuyển tiền, đổi email) → người dùng vô tình thực hiện một hành động mà họ không định làm. ``` ```html ``` ## Phòng ngừa ```text ✓ CSRF TOKENS → một token duy nhất, không thể đoán cho mỗi session/form mà server xác minh; site của kẻ tấn công không thể biết nó → request giả mạo thất bại (biện pháp chính) ✓ SameSite COOKIES → SameSite=Lax/Strict → cookies KHÔNG được gửi trên request cross-site → chặn CSRF (giờ là biện pháp phòng thủ mạnh của trình duyệt, gần như mặc định) ✓ Kiểm tra Origin/Referer headers; yêu cầu xác thực lại cho các hành động nhạy cảm ✓ Đừng dùng GET cho các hành động thay đổi trạng thái (dùng POST/PUT/DELETE đúng cách) → Các framework thường cung cấp sẵn bảo vệ CSRF — bật/dùng nó. ``` ## Tại sao điều này quan trọng Hiểu CSRF và cách phòng ngừa nó có giá trị vì đó là một **lỗ hổng web phổ biến** khai thác cách trình duyệt hoạt động, cho phép kẻ tấn công thực hiện hành động thay người dùng đã xác thực, nên đó là kiến thức bảo mật quan trọng cho lập trình viên web. Hiểu **cách CSRF hoạt động** — khai thác việc trình duyệt **tự động gửi cookies** (bao gồm session cookies) với request, nên một trang độc hại có thể kích hoạt một request tới một site nơi người dùng đã đăng nhập, và trình duyệt đính kèm session cookie, khiến site coi request giả mạo là hợp lệ và thực hiện hành động (chuyển tiền, thay đổi tài khoản) mà không có sự đồng ý của người dùng — là cần thiết để nắm bắt tấn công tinh vi nhưng nguy hiểm này. CSRF nguy hiểm vì nó có thể thực hiện các hành động nhạy cảm thay nạn nhân mà họ không hay biết, và nó là một lỗ hổng web phổ biến. Hiểu **cách phòng ngừa** là thiết yếu: **CSRF tokens** (một token duy nhất, không thể đoán cho mỗi session/form mà server xác minh — site của kẻ tấn công không thể biết nó, nên request giả mạo thất bại; biện pháp phòng thủ truyền thống chính), **SameSite cookies** (đặt SameSite=Lax/Strict để cookies không được gửi trên request cross-site, giờ là một biện pháp phòng thủ cấp trình duyệt mạnh và ngày càng mặc định), kiểm tra Origin/Referer headers, yêu cầu xác thực lại cho các hành động nhạy cảm, và không dùng GET cho các thao tác thay đổi trạng thái. Hiểu rằng **các framework thường cung cấp sẵn bảo vệ CSRF** (nên được bật và dùng) là quan trọng về mặt thực hành. Sự kết hợp giữa CSRF tokens và SameSite cookies cung cấp bảo vệ vững chắc. Vì CSRF là một lỗ hổng web phổ biến khai thác hành vi trình duyệt để thực hiện các hành động không mong muốn thay người dùng đã xác thực, và vì hiểu cách nó hoạt động và cách phòng ngừa (CSRF tokens, SameSite cookies, bảo vệ của framework) là quan trọng cho lập trình viên web, nên hiểu CSRF và cách phòng ngừa nó là kiến thức bảo mật có giá trị, liên quan thực tế — một lỗ hổng web quan trọng cần hiểu và phòng thủ, nơi các biện pháp phòng thủ (CSRF tokens và SameSite cookies) là kiến thức then chốt để bảo vệ người dùng khỏi bị lừa thực hiện các hành động không mong muốn, một nhóm tấn công đáng chú ý cho bất kỳ ứng dụng web nào có các thao tác thay đổi trạng thái cần xác thực.