CSRF (Межсайтовая подделка запроса)
Атака, которая заставляет аутентифицированных пользователей выполнять нежелательные действия в веб-приложении, обманом заставляя их нажимать на вредоносные ссылки или отправлять формы.
Определение
CSRF эксплуатирует доверие веб-приложения к браузеру пользователя. Когда пользователь авторизован на сайте, его сессионные куки автоматически отправляются с каждым запросом. Атакующие создают вредоносные страницы, которые делают запросы к целевому сайту, выполняя действия от имени аутентифицированного пользователя. Современные защиты включают CSRF-токены, SameSite cookies и проверку origin.
Почему это важно
CSRF входит в OWASP Top 10 и затрагивал крупные сайты, включая YouTube и Netflix. Без защиты атакующие могут менять пароли, переводить средства или изменять данные пользователя. Современные фреймворки (Rails, Django, Next.js) включают встроенную CSRF-защиту.
Пример
Пользователь авторизован в банке. Он посещает вредоносный сайт со скрытой формой, которая отправляет POST-запрос на перевод денег через API банка. Поскольку сессионные куки пользователя отправляются автоматически, банк обрабатывает перевод как легитимный.