Bei einemCross-site request forgery (CSRF)-Angriff täuscht ein Angreifer den Browser dazu, eine HTTP-Anfrage an die Zielseite von einer bösartigen Seite aus zu stellen. Die Anfrage enthält die Anmeldedaten des Benutzers und veranlasst den Server, eine schädliche Aktion durchzuführen, im Glauben, der Benutzer habe dies gewollt.

Ein CSRF-Angriff ist möglich, wenn eine Website:

• HTTP-Anfragen verwendet, um einen Zustand auf dem Server zu ändern
• Nur Cookies benutzt, um zu überprüfen, dass die Anfrage von einem authentifizierten Benutzer stammt
• Nur Parameter in der Anfrage verwendet, die ein Angreifer vorhersagen kann

Es gibt mehrere Verteidigungsmaßnahmen gegen CSRF-Angriffe, einschließlichCSRF-Token, dem Einsatz vonFetch-Metadaten, um bestimmte siteübergreifende Anfragen zu blockieren, und demSetzen desSameSite-Attributs auf Cookies, die zur Authentifizierung sensibler Anfragen verwendet werden.

Siehe auch

• Cross-site request forgery
• Cross-Site Request Forgery Prevention Cheat Sheet aufowasp.org