CSRF-токены (также известны как anti-CSRF-токены) — специальные значения, которые используются в веб-приложениях для предотвращения атак, связанных с подделкой межсайтовых запросов (CSRF или XSRF). 5

Суть работы: сервер создаёт случайный ключ (токен) и отправляет его браузеру клиента. 1 Когда браузер запрашивает у сервера информацию, сервер, прежде чем дать ответ, требует показать ключ и проверяет его достоверность. 1 Если токен совпадает, сессия продолжается, а если нет — прерывается. 1

Как токены помогают защититься от атак:

• Предотвращают направление пользователей на вредоносные сайты. 5 Злоумышленник может создавать поддельную страницу, похожую на оригинальную, и встраивать её в сайт. 1 Пользователь вместо реальной страницы попадает на поддельную и совершает действие, например, оплачивает товар или вводит данные авторизации. 1 Информация или денежные средства вместо оригинального сервера уходят на сервер мошенника. 1
• Защищают от кражи конфиденциальных данных. 1 Токен помогает проверить личность пользователя, например, клиента, который онлайн получает доступ к банковскому счёту. 1
• Препятствуют выполнению действий от имени пользователя. 5 При входе в систему сервер устанавливает уникальный токен в cookie браузера. 5 Этот токен затем включается в каждую форму как скрытое поле. 5 При отправке данных формы сервер проверяет соответствие токена в запросе токену, установленному в cookie. 5 Если они не совпадают, сервер отклоняет запрос, предотвращая CSRF-атаку. 5