Services

AI & Agentic Systems Core Information Systems Cloud & Platform Engineering Data Platform & Integration Security & Compliance QA, Testing & Observability IoT, Automation & Robotics Mobile & Digital

Industries

Banking & Finance Insurance Public Administration Defense & Security Healthcare Energy & Utilities Telco & Media Manufacturing Logistics & E-commerce Retail & Loyalty

References Technologies

Lab

Blog Know-how Tools

About Collaboration Careers

Language

CS EN

CSRF ochrana — Cross-Site Request Forgery

03. 12. 2023 1 min read intermediate

CSRF útok přinutí přihlášeného uživatele provést nechtěnou akci. Prohlížeč automaticky přiloží cookies, útočník toho využívá.

Jak CSRF funguje¶

Uživatel přihlášen na bank.com. Navštíví evil.com se skrytým formulářem, který odešle POST na bank.com/transfer. Prohlížeč přiloží session cookie.

Obrana: CSRF Token + SameSite¶

Django — vestavěná ochrana:¶

Express.js¶

const csrf = require(‘csurf’); app.use(csrf({ cookie: true }));

Set-Cookie: session=abc; SameSite=Lax; Secure; HttpOnly

Moderní přístup¶

SameSite=Lax je default v moderních prohlížečích
CSRF token pro state-changing operace
API s Bearer token v Authorization headeru je imunní vůči CSRF

Key Takeaway¶

SameSite=Lax + CSRF tokeny pro formuláře. API s Bearer tokenem je proti CSRF imunní.

securitycsrfweb

Share:

CORE SYSTEMS tým

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Všechny články

Další know-how

OWASP Top 10 — Web Application Security

OWASP recommendations in Java EE. SQL injection, XSS, CSRF, and how to defend against them.

WAF konfigurace — Web Application Firewall

ModSecurity, AWS WAF, Cloudflare WAF. Pravidla a false positives.

Burp Suite Basics — Web Security Testing

How to use Burp Suite for web application testing.