CSRF
CSRF (Cross-Site Request Forgery) ist ein Angriff, der einen vertrauenswürdigen Benutzer imitiert und einer Website unerwünschte Befehle sendet.
Dies kann zum Beispiel durch das Einfügen von schädlichen Parametern in eine URL hinter einem Link erfolgen, der vorgibt, woanders hinzugehen:
<img src="https://www.example.com/index.php?action=delete&id=123" />
Für Benutzer, die Änderungsberechtigungen auf https://www.example.com
haben, führt das <img>
-Element eine Aktion auf https://www.example.com
aus, ohne dass sie es bemerken, selbst wenn das Element nicht auf https://www.example.com
ist.
Es gibt viele Möglichkeiten, CSRF zu verhindern, wie z.B. die Implementierung von RESTful API, das Hinzufügen von sicheren Tokens usw.
Siehe auch
- Cross-site request forgery auf Wikipedia
- Präventionsmaßnahmen