Forståelse af CSRF-angreb

CSRF er et angreb hvor angriberen udnytter brugerens cookies eller netværksposition til at sende uautoriserede forespørgsler.

Applikationer skal afvise tilstandsændrende forespørgsler fra andre sider ved fx at kontrollere Origin-headeren eller Sec-Fetch-Site.

SameSite-cookie-attributten kan konfigureres til Lax eller Strict for at forhindre cookies i at blive sendt på tværs af websteder.

CSRF-tokens (dobbelt indsending eller synkroniserede tokens) kræver, at formularer og POST-forespørgsler instrumenteres korrekt.

Fetch-metadata-headers som Sec-Fetch-Site anbefales som den mest udviklervenlige metode uden yderligere konfiguration.

En simpel algoritme med tilladelse af sikre metoder (GET, HEAD, OPTIONS) og kontrol af headers beskytter moderne browsere mod CSRF.

Get notified when new stories are published for "Hacker News 🇩🇰 Dansk"

No Sign-In needed. One-Click Subscribe.

•

Hacker News 🇩🇰 Dansk•August 13, 2025 at 06:58 PM

CSRF er et angreb hvor angriberen udnytter brugerens cookies eller netværksposition til at sende uautoriserede forespørgsler.

Applikationer skal afvise tilstandsændrende forespørgsler fra andre sider ved fx at kontrollere Origin-headeren eller Sec-Fetch-Site.

SameSite-cookie-attributten kan konfigureres til Lax eller Strict for at forhindre cookies i at blive sendt på tværs af websteder.

CSRF-tokens (dobbelt indsending eller synkroniserede tokens) kræver, at formularer og POST-forespørgsler instrumenteres korrekt.

Fetch-metadata-headers som Sec-Fetch-Site anbefales som den mest udviklervenlige metode uden yderligere konfiguration.

En simpel algoritme med tilladelse af sikre metoder (GET, HEAD, OPTIONS) og kontrol af headers beskytter moderne browsere mod CSRF.

Get notified when new stories are published for "Hacker News 🇩🇰 Dansk"

No Sign-In needed. One-Click Subscribe.