ثغرة CSRF وطرق الحماية منها

يعمل هجوم CSRF لأن طلبات المتصفح تتضمن تلقائيًا جميع ملفات تعريف الارتباط بما في ذلك ملفات تعريف الارتباط للجلسة لذلك إذا تمت مصادقة المستخدم على الموقع فلا يمكن للموقع التمييز بين الطلبات المصرح بها المشروعة والطلبات المصادق عليها المزورة وهذه بعض الطرق للحماية من هذا الهجوم

• تحقق مما إذا كان إطار العمل الخاص بك يحتوي على حماية CSRF مضمنة واستخدمها
• لا تستخدم طلبات GET لعمليات تغيير الحالة.
• استخدم ملفات تعريف الارتباط المزدوجة
• ضع في اعتبارك تنفيذ الحماية القائمة على تفاعل المستخدم للعمليات شديدة الحساسية