CSRF

Определение: CSRF (Cross-Site Request Forgery) — это атака, при которой злоумышленник заставляет браузер уже авторизованного пользователя незаметно отправить запрос на ваш сайт (например, изменить пароль, почту или реквизиты), используя его текущую сессию.

Зачем это нужно

• Защищает действия «по кнопке»: смену пароля, e-mail, телефона, адреса, ролей, настроек.
• Не даёт выполнить операции от имени пользователя без его реального намерения.
• Снижает риск финансовых потерь (оплаты, переводов, смены реквизитов) в личных кабинетах.
• Помогает закрыть уязвимые места в формах и API, где есть состояние и права доступа.
• Повышает доверие: важные действия становятся контролируемыми и безопасными.

Пример

Пример кода:

<!-- Форма с CSRF-токеном -->
<form method="post" action="/profile/email">
  <input type="hidden" name="csrf_token" value="RANDOM_TOKEN">
  <input type="email" name="email">
  <button type="submit">Сохранить</button>
</form>

# На сервере
if request.csrf_token != session.csrf_token: deny(403)

Смысл защиты: сервер принимает изменение только если токен из формы совпадает с токеном, который хранится в сессии пользователя. Тогда «поддельный» запрос с чужого сайта обычно не пройдёт.

Скриншот

Подпись к скриншоту: в DevTools (Network) показать POST-запрос формы и наличие поля csrf_token (или заголовка), чтобы было видно, что защита реально передаётся и проверяется.

Частые ошибки

• Ставить токен только «для галочки», но не проверять его на сервере.
• Защищать только HTML-формы и забывать про JSON/API-методы, которые меняют данные.
• Разрешать изменение данных через GET-запросы (их проще подделать ссылкой или картинкой).
• Отключать проверку CSRF ради «удобства» вместо настройки исключений точечно.

Связанные термины

• Cookie
• Сессия
• SameSite
• XSS
• Авторизация
• WAF

Наши услуги

• Доработка сайтов — внедрим CSRF-защиту в формы и API, проверку токенов и безопасные сценарии изменений.
• Техническая поддержка сайтов — обновления, аудит уязвимостей и контроль безопасности личного кабинета.
• Создание корпоративных сайтов — разработка с учётом базовой защиты аккаунтов и действий пользователей.