CSRF ocorre quando um atacante faz o navegador enviar pedidos maliciosos usando a autoridade de cookies do utilizador.
Aplicações que usam cookies para autenticação devem obrigatoriamente proteger-se contra CSRF.
Diferenças entre same-site e same-origin, e entre HTTP e HTTPS, influenciam a confiança e a possibilidade de ataques MitM.
Tokens CSRF (double-submit ou sincronizados) são a contramedida clássica mas exigem instrumentação de formulários e podem ser vulneráveis a leaks ou ataques de compressão BREACH.
Validação do cabeçalho Origin mitiga CSRF mas depende de configurações corretas de origem e pode falhar com proxies ou esquemas diferentes.
Cookies com atributo SameSite (Lax ou Strict) previnem envio em pedidos cross-site mas têm suporte inconsistente e não cobrem ataques HTTP→HTTPS.
Requisições não simples (com CORS preflight) permitem limitar pedidos a cabeçalhos não padrão mas reduzem a simplicidade de implementação.
Fetch metadata, em particular o cabeçalho Sec-Fetch-Site, é o método recomendado atualmente para detetar pedidos cross-site.
Algoritmo recomendado (2025) inclui permitir métodos safe, validar Origin, avaliar Sec-Fetch-Site e usar fallback no Host.
Deve existir um mecanismo de exceção controlado para casos especiais como fluxos SSO.
Go 1.25 disponibiliza middleware CrossOriginProtection em net/http para facilitar a aplicação de proteções CSRF.
Get notified when new stories are published for "Hacker News 🇵🇹 Português"