CSRF může způsobit nechtěné změny účtu nebo dat bez vědomí uživatele.
CSRF (Cross-Site Request Forgery) je typ útoku, při kterém útočník přiměje uživatele, aby neúmyslně odeslal požadavek z důvěryhodné webové aplikace – typicky v době, kdy je uživatel přihlášen.
Příklady útoků CSRF:
- změna e-mailové adresy nebo hesla,
- odeslání platby,
- mazání dat bez souhlasu uživatele.
Obrana proti CSRF:
- používání CSRF tokenů ve formulářích,
- ověřování hlaviček požadavku (např.
OriginneboReferer), - používání moderních autentizačních metod (např. OAuth).