CDN, Security & Datenschutz FAQ 438

Was ist Cross-Site Request Forgery?

Kurzantwort

Cross-Site Request Forgery (CSRF) zwingt eingeloggte Nutzer zu ungewollten Aktionen ohne ihr Wissen.

Erklärung

Der Angriff nutzt bestehende Sitzungen aus, etwa wenn ein versteckter Request Passwort oder Einstellungen ändert.

Worauf achten?

Schütze zustandsändernde Aktionen mit CSRF-Tokens, SameSite-Cookies und ggf. Re-Authentifizierung.

Typische Fehler

Ein häufiger Fehler ist, kritische Aktionen per GET ohne Tokenprüfung anzubieten.

Praxistipp

Verlange für sensible Änderungen immer einen gültigen Token und protokolliere fehlgeschlagene Prüfungen.

Verwandte Fragen