Glossar App Entwicklung

Cross-Site Request Forgery (CSRF)

CSRF ist eine Art von Webanwendungs-Sicherheitsl├╝cke, bei der ein Angreifer ungewollte Aktionen im Namen eines authentifizierten Benutzers in einer Webanwendung ausf├╝hren kann, ohne dass der Benutzer davon Kenntnis hat. Diese Schwachstelle kann dazu f├╝hren, dass Benutzerdaten ver├Ąndert oder missbraucht werden und kann schwerwiegende Auswirkungen auf die Sicherheit und den Datenschutz von Webanwendungen und deren Benutzern haben.

CSRF-Angriffe treten auf, wenn ein Angreifer eine legitime Anfrage an eine Webanwendung f├Ąlscht, indem er die Anmeldeinformationen des Benutzers (z.B. Cookies) ausnutzt. Ein h├Ąufiges Beispiel f├╝r einen CSRF-Angriff ist das unbewusste Senden einer E-Mail oder das ├ändern des Passworts eines Benutzers, indem er ihn dazu verleitet, auf einen manipulierten Link oder eine Webseite zu klicken, die die sch├Ądliche Anfrage ausl├Âst.

Um CSRF-Angriffe zu verhindern, k├Ânnen Webentwickler verschiedene Sicherheitsma├čnahmen ergreifen, wie zum Beispiel:

  • Anti-CSRF-Token: Eindeutige, zuf├Ąllig generierte Token, die bei jeder Anfrage an den Server gesendet werden und serverseitig ├╝berpr├╝ft werden. Diese Token stellen sicher, dass jede Anfrage von der legitimen Webanwendung stammt und nicht von einem Angreifer gef├Ąlscht wurde.
  • Same-Site-Cookies: Eine Browserfunktion, die es erm├Âglicht, Cookies so einzustellen, dass sie nur bei Anfragen innerhalb derselben Domain gesendet werden, wodurch die M├Âglichkeit von CSRF-Angriffen verringert wird.
  • Referrer-Policy: Eine Richtlinie, die es Webanwendungen erm├Âglicht, den Referrer-Header in HTTP-Anfragen zu steuern, um sicherzustellen, dass Anfragen nur von vertrauensw├╝rdigen Domains stammen.
  • Content Security Policy (CSP): Eine Sicherheitsfunktion, die es Webanwendungen erm├Âglicht, die Quellen von Inhalten wie Skripten, Bildern oder Stylesheets zu kontrollieren, um die Ausf├╝hrung von unsicheren Inhalten zu verhindern.

Die Implementierung dieser Sicherheitsma├čnahmen kann je nach verwendeter Programmiersprache, Framework und Infrastruktur variieren. Es ist wichtig, dass Webentwickler sich der CSRF-Schwachstelle bewusst sind und geeignete Schutzmechanismen in ihre Webanwendungen integrieren, um die Sicherheit und den Datenschutz der Benutzer zu gew├Ąhrleisten.