Cross-Site-Request-Forgery (CSRF)

Bei einem Cross-Site-Request-Forgery (CSRF)-Angriff bringt ein Angreifer den Browser dazu, eine HTTP-Anfrage an die Zielseite von einer bösartigen Seite aus zu stellen. Die Anfrage enthält die Anmeldedaten des Benutzers und führt dazu, dass der Server eine schädliche Aktion durchführt, in der Annahme, dass der Benutzer dies beabsichtigt hat.

Ein CSRF-Angriff ist möglich, wenn eine Website:

HTTP-Anfragen verwendet, um einen Zustand auf dem Server zu ändern
Nur Cookies verwendet, um zu überprüfen, dass die Anfrage von einem authentifizierten Benutzer stammt
Nur Parameter in der Anfrage verwendet, die ein Angreifer vorhersagen kann

Es gibt mehrere Abwehrmechanismen gegen CSRF-Angriffe, darunter CSRF-Token, die Verwendung von Fetch-Metadaten, um bestimmte Cross-Site-Anfragen zu blockieren, und das Setzen des SameSite-Attributs für Cookies, die zur Authentifizierung sensibler Anfragen verwendet werden.

Siehe auch

Cross-Site-Request-Forgery
Leitfaden zur Vermeidung von Cross-Site-Request-Forgery bei owasp.org