Home

CSRFbescherming

CSRFbescherming verwijst naar maatregelen die bescherming bieden tegen Cross-Site Request Forgery (CSRF). CSRF is een aanval waarbij een kwaadwillende site misbruik maakt van een ingelogde sessie van een gebruiker om ongewilde acties uit te voeren op een andere site. Doelwit: een site die cookies gebruikt voor authenticatie, zodat verzoeken die vanuit een andere domein komen als legitiem kunnen lijken.

Hoe CSRF werkt, ontstaat vooral doordat browsers bij elk verzoek automatisch cookies meesturen. Een gebruiker met

Bescherming tegen CSRF omvat diverse technieken. Anti-CSRF tokens (Synchronizer Token Pattern) plaatsen een uniek token in

Praktische overwegingen: implementeer CSRF-bescherming waar staat‑veranderende acties plaatsvinden, gebruik veilige en SameSite-beveiligde cookies, en roteer tokens

een
actieve
sessie
kan
bijvoorbeeld
een
misleidende
pagina
bezoeken
of
een
vermomde
link
openen,
waarop
een
vorm-
of
afbeeldingsverzoek
naar
de
doelsite
wordt
gedaan.
De
server
ziet
het
verzoek
en
accepteert
het
mogelijk
als
valide,
omdat
de
cookies
van
de
gebruiker
bij
dit
verzoek
meegestuurd
worden,
zonder
dat
de
gebruiker
zelf
iets
heeft
gedaan
op
de
doelsite.
elk
state-changing
verzoek,
dat
door
de
server
wordt
geverifieerd.
SameSite
cookies
beperken
of
blokkeren
het
meegestuurde
cookies
bij
cross-site
verzoeken.
Double
submit
cookies
combineren
een
token
in
een
cookie
met
hetzelfde
token
in
het
verzoek.
Daarnaast
kunnen
origin-
of
referer-controles
en
vereiste
gebruikersinteractie
(zoals
herbevestiging
of
her-login)
extra
zekerheid
bieden.
Veel
frameworks
bieden
ingebouwde
CSRF-bescherming
en
raden
aan
deze
standaard
te
activeren.
waar
mogelijk.
Houd
rekening
met
beperkingen
van
inkomende
refererheaders
en
de
complexiteit
bij
single‑page
apps,
waar
aangepaste
headers
of
tokens
vereist
kunnen
zijn.
Defensie
in
diepte
en
goede
configuratie
zijn
essentieel
voor
effectieve
bescherming.