Вернуться назад
CSRF (Cross-Site Request Forgery, XSRF) — это кибератака на авторизованных пользователей сайта, при которой злоумышленник заставляет их совершать нежелательные действия: переводить деньги, менять пароли или данные учетной записи.Она работает через сессионные cookie: пользователь входит на сайт, а мошенник обманом заставляет браузер отправить поддельный запрос от его имени. Сервер считает его легитимным и выполняет действие, даже если пользователь ничего не делал.
Чтобы защитить сайт от CSRF, используют специальные токены: сервер выдаёт уникальный маркер для каждого сеанса, и клиент включает его в запросы на изменения. Без токена поддельный запрос блокируется.