Что такое CSRF-токены и как они помогают защититься от атак?

CSRF-токены (также известны как anti-CSRF-токены) — специальные значения, которые используются в веб-приложениях для предотвращения атак, связанных с подделкой межсайтовых запросов (CSRF или XSRF). polygant.net

Суть работы: сервер создаёт случайный ключ (токен) и отправляет его браузеру клиента. help.reg.ru Когда браузер запрашивает у сервера информацию, сервер, прежде чем дать ответ, требует показать ключ и проверяет его достоверность. help.reg.ru Если токен совпадает, сессия продолжается, а если нет — прерывается. help.reg.ru

Как токены помогают защититься от атак:

• Предотвращают направление пользователей на вредоносные сайты. polygant.net Злоумышленник может создавать поддельную страницу, похожую на оригинальную, и встраивать её в сайт. help.reg.ru Пользователь вместо реальной страницы попадает на поддельную и совершает действие, например, оплачивает товар или вводит данные авторизации. help.reg.ru Информация или денежные средства вместо оригинального сервера уходят на сервер мошенника. help.reg.ru
• Защищают от кражи конфиденциальных данных. help.reg.ru Токен помогает проверить личность пользователя, например, клиента, который онлайн получает доступ к банковскому счёту. help.reg.ru
• Препятствуют выполнению действий от имени пользователя. polygant.net При входе в систему сервер устанавливает уникальный токен в cookie браузера. polygant.net Этот токен затем включается в каждую форму как скрытое поле. polygant.net При отправке данных формы сервер проверяет соответствие токена в запросе токену, установленному в cookie. polygant.net Если они не совпадают, сервер отклоняет запрос, предотвращая CSRF-атаку. polygant.net