VexFox Blog

Mi a csrf elleni védelem?

Tartalomjegyzék

Mi is az a Csrf és miért szükséges védekezni ellenük? A Csrf (Cross-Site Request Forgery) elleni védelemhez több alternatíva is létezik. A Cross-Site Request Forgery (CSRF) támadás során egy támadó megpróbálja becsapni a felhasználót, hogy egy nem kívánt műveletet hajtson végre egy weboldalon, ahol a felhasználó hitelesítve van. Így a támadó képes lehet olyan műveleteket végrehajtani a felhasználó nevében, amelyekre egyébként nem lenne jogosultsága

Védekezés a CSRF támadások ellen

Néhány módszer a CSRF támadások ellen

Anti-CSRF tokenek használata

A leggyakrabban alkalmazott módszer a webalkalmazásokban. Ennek lényege, hogy minden űrlap és fontos művelet megvalósításához egyedi tokeneket generálunk, és ezeket a tokeneket a session-ben tároljuk, majd az űrlapokban vagy kérésekben elhelyezzük. Amikor a kérés érkezik, a szerver ellenőrzi a tokeneket, és csak akkor fogadja el a kérést, ha a megfelelő token található meg.

HTTP referer ellenőrzése

A szerver ellenőrzi, hogy a kérés honnan érkezett. Ennek hátránya, hogy a referer mező manipulálható, így ez önmagában nem jelent teljes védelmet.

HTTP Only cookie-k használata

Az "HttpOnly" cookie-k csak HTTP kéréseken keresztül érhetők el, és nem érhetők el JavaScript segítségével. Bár ez nem közvetlenül védi a CSRF ellen, segíthet csökkenteni a támadási felületet.

SameSite cookie attribútum használata

A SameSite attribútum lehetővé teszi a fejlesztők számára, hogy meghatározzák, hogy a cookie-k csak akkor kerüljenek elküldésre, ha az eredeti oldalról érkezik a kérés. Ez is segíthet a CSRF elleni védelemben.

Weboldalunk sütiket használ a működés biztosításához és a felhasználói élmény javításához. Ezek a sütik főként a weboldal funkcióinak fenntartásához szükségesek. Ezen kívül előfordulhat, hogy néhány nem létfontosságú süti is elhelyezésre kerül, amelyek segíthetnek a weboldal teljesítményének javításában és az Ön preferenciáinak jobb megértésében.

A sütik olyan kis szöveges fájlok, amelyeket egy weboldal felhasználhat arra, hogy még hatékonyabbá tegye a felhasználói élményt. A jogszabályok szerint a sütiket abban az esetben tárolhatjuk az eszközön, ha erre feltétlenül szükség van a weboldalunk működése érdekében. Minden egyéb típusú süti használatához az engedélyedre van szükségünk. Jelen weboldal különféle sütiket használ. A weboldalunkon megjelenő némelyik sütit harmadik fél szolgáltatóink helyezik.
Az elengedhetetlen sütik segítenek használhatóvá tenni a weboldalunkat azáltal, hogy engedélyeznek olyan alapvető funkciókat, mint az oldalon való navigáció és a weboldal biztonságos területeihez való hozzáférés. A weboldal ezen sütik nélkül nem tud megfelelően működni.
A preferenciális sütik használatával olyan információkat tudunk megjegyezni, amelyek megváltoztatják a weboldal magatartását, illetve kinézetét, erre példa lehet az Ön által előnyben részesített nyelv vagy a régió, amelyben tartózkodik.
A marketingsütiket a látogatók weboldal-tevékenységének nyomon követésére használjuk. A cél az, hogy releváns hirdetéseket tegyünk közzé az egyéni felhasználók számára, valamint aktivitásra buzdítsuk őket, ez pedig még értékesebbé teszi weboldalunkat a tartalmakat közzétevő és a harmadik fél hirdetők számára.