CSRFsuojausten

CSRF-suojausten tarkoituksena on estää Cross-Site Request Forgery -hyökkäykset, joissa hyökkääjä tahtomattaan saa uhrin selaimen suorittamaan tilisiirtopyyntöjä tai muita muutoksia toisen verkkosivuston tilille. Tällaiset pyynnöt lähetetään kolmannen osapuolen sivulta käyttäjän nimissä, usein ilman käyttäjän tietoista hyväksyntää, ja ne voivat uhata käyttäjän turvallisuutta ja järjestelmän eheyttä.

Tavallisimmat CSRF-suojauksen keinot perustuvat siihen, että palvelin voi varmistaa pyynnön oikeellisuuden ja alkuperän. Yksi perustavanlaatuinen keino

Toinen yleinen keino on CSRF-tunnisteen (synchronizer token) käyttöönotto. Jokaiselle käyttäjäistunnolle luodaan arvo, joka upotetaan lomakkeisiin ja

Oheisina tekniikoina käytetään myös Origin- tai Referer-otsikoiden tarkastelua sekä vaatimusta erityisille päivityssuoritteille (esimerkiksi POST/PUT/DELETE) oikean lähteen

Hyvä CSRF-turva koostuu usean menetelmän yhdistelmästä, säännöllisestä säännösten päivittämisestä ja tunnisteiden asianmukaisesta hallinnasta sekä vanhentamisesta.