Back تزوير الطلب عبر المواقع Arabic Cross-site request forgery Catalan Cross-site request forgery Czech Πλαστογράφηση αιτήματος μεταξύ ιστοτόπων Greek Cross-site request forgery English Cross-site request forgery Spanish جعل درخواست میانوبگاهی Persian Cross-site request forgery French CSRF HE Cross-site request forgery Hungarian
Eine Cross-Site-Request-Forgery (meist CSRF oder XSRF abgekürzt, deutsch etwa „Websiteübergreifende Anfragenfälschung“, auch Session-Riding genannt) ist ein Angriff auf ein Computersystem, bei dem der Angreifer eine Transaktion in einer Webanwendung durchführt. Dies geschieht nicht direkt, sondern der Angreifer bedient sich dazu eines Opfers, das bei einer Webanwendung bereits angemeldet sein muss. Dem Webbrowser des Opfers wird ohne dessen Wissen eine HTTP-Anfrage untergeschoben. Der Angreifer wählt die Anfrage so, dass bei deren Aufruf die Webanwendung die vom Angreifer gewünschte Aktion ausführt.
Das Sicherheitsproblem ist auf die Zustandslosigkeit von HTTP zurückzuführen, da nach einmaliger Authentifizierung der Browser implizit jedes Mal seine Sitzungsdaten an den Server sendet.
Im Artikel hier wird vereinfacht vom Cookie gesprochen, wenn eine Sitzung (insbesondere ein Sitzungsbezeichner) gemeint ist. CSRF tritt jedoch nicht nur bei Cookie-basierter, sondern auch bei Basic- bzw. Digest-Authentifizierung auf.