Zurück zur Übersicht
Glossar App Entwicklung

Cross-Site Request Forgery (CSRF)

CSRF ist eine Art von Webanwendungs-Sicherheitslücke, bei der ein Angreifer ungewollte Aktionen im Namen eines authentifizierten Benutzers in einer Webanwendung ausführen kann, ohne dass der Benutzer davon Kenntnis hat. Diese Schwachstelle kann dazu führen, dass Benutzerdaten verändert oder missbraucht werden und kann schwerwiegende Auswirkungen auf die Sicherheit und den Datenschutz von Webanwendungen und deren Benutzern haben.

CSRF-Angriffe treten auf, wenn ein Angreifer eine legitime Anfrage an eine Webanwendung fälscht, indem er die Anmeldeinformationen des Benutzers (z.B. Cookies) ausnutzt. Ein häufiges Beispiel für einen CSRF-Angriff ist das unbewusste Senden einer E-Mail oder das Ändern des Passworts eines Benutzers, indem er ihn dazu verleitet, auf einen manipulierten Link oder eine Webseite zu klicken, die die schädliche Anfrage auslöst.

Um CSRF-Angriffe zu verhindern, können Webentwickler verschiedene Sicherheitsmaßnahmen ergreifen, wie zum Beispiel:

  • Anti-CSRF-Token: Eindeutige, zufällig generierte Token, die bei jeder Anfrage an den Server gesendet werden und serverseitig überprüft werden. Diese Token stellen sicher, dass jede Anfrage von der legitimen Webanwendung stammt und nicht von einem Angreifer gefälscht wurde.
  • Same-Site-Cookies: Eine Browserfunktion, die es ermöglicht, Cookies so einzustellen, dass sie nur bei Anfragen innerhalb derselben Domain gesendet werden, wodurch die Möglichkeit von CSRF-Angriffen verringert wird.
  • Referrer-Policy: Eine Richtlinie, die es Webanwendungen ermöglicht, den Referrer-Header in HTTP-Anfragen zu steuern, um sicherzustellen, dass Anfragen nur von vertrauenswürdigen Domains stammen.
  • Content Security Policy (CSP): Eine Sicherheitsfunktion, die es Webanwendungen ermöglicht, die Quellen von Inhalten wie Skripten, Bildern oder Stylesheets zu kontrollieren, um die Ausführung von unsicheren Inhalten zu verhindern.

Die Implementierung dieser Sicherheitsmaßnahmen kann je nach verwendeter Programmiersprache, Framework und Infrastruktur variieren. Es ist wichtig, dass Webentwickler sich der CSRF-Schwachstelle bewusst sind und geeignete Schutzmechanismen in ihre Webanwendungen integrieren, um die Sicherheit und den Datenschutz der Benutzer zu gewährleisten.