Bij Cross Site Request Forgery (CSRF) of XSRF voert een aanvaller een POST-request uit namens zijn slachtoffer. Een POST request is een request waarbij data wordt verzonden naar een server. Dit gebeurt bij websites op plekken waar formulieren staan, meestal met een knop om de data te verzenden. Voorbeelden zijn het plaatsen van een reactie onder een blogpost of het plaatsen van een bericht op sociale media. Bij CSRF wordt deze POST-request nagebootst door de aanvaller. De gebruiker weet dan niet dat de aanvaller namens hem/haar de POST-request uitvoert. Dit doet de aanvaller via een nep link of door een automatische link te plaatsen die wordt uitgevoerd als de gebruiker de webpagina opent. De CSRF gevoeligheden liggen typisch op plekken waar de gebruiker alleen bij kan komen als hij/zij is ingelogd. Als de aanvaller weet hoe de POST-request eruit ziet, is het enige obstakel de login van de gebruiker. Als de gebruiker zelf al is ingelogd en zelf de request uitvoert kan de request succesvol uitgevoerd worden.
Hoe kan je CRSF voorkomen op jouw website?
Om CSRF tegen te gaan, is het belangrijk om na te gaan dat alleen de gebruiker voor wie het formulier bedoeld is, de mogelijkheid heeft om het formulier in te vullen en op te sturen. De passende maatregel die je hiervoor kan treffen is het gebruik van een csrf-token. Dit token wordt iedere keer opnieuw gegenereerd als een formulier wordt gepresenteerd aan de gebruiker. Als de request binnenkomt op de server, wordt gecheckt of deze overeenkomt met het token van het formulier op de webpagina. Voor de aanvaller is de waarde van dit token onbekend, waardoor niet meer succesvol een request namens de gebruiker kan worden uitgevoerd.