CSRF-Token
Was ist CSRF-Token?
CSRF-TokenUnvorhersagbarer, sitzungsgebundener Wert in Formularen oder Headern, mit dem der Server bestatigt, dass zustandsandernde Anfragen aus seinen eigenen Seiten stammen.
Ein CSRF-Token ist die klassische Abwehr gegen Cross-Site Request Forgery. Der Server erzeugt einen Zufallswert, bindet ihn an die Session und betten ihn in Formulare ein oder sendet ihn uber einen Custom-Header. Bei jeder zustandsandernden Anfrage vergleicht der Server den eingereichten Token mit dem erwarteten und weist Abweichungen ab. Varianten: Synchronizer-Token-Pattern (serverseitiger Zustand), Double-Submit-Cookies (stateless) und OWASP-HMAC-Muster. Moderne Anwendungen kombinieren CSRF-Token mit SameSite=Lax/Strict-Cookies, Custom-Headern, Origin/Referer-Validierung und strikter CORS-Konfiguration. Reine Bearer-Token-APIs aus JS brauchen keinen CSRF-Token, aber Anti-Replay-Massnahmen.
● Beispiele
- 01
Verstecktes <input type="hidden" name="csrf" value="a8f1...">-Feld in einem Formular.
- 02
X-CSRF-Token-Header serverseitig gegen ein Session-Secret validiert.
● Häufige Fragen
Was ist CSRF-Token?
Unvorhersagbarer, sitzungsgebundener Wert in Formularen oder Headern, mit dem der Server bestatigt, dass zustandsandernde Anfragen aus seinen eigenen Seiten stammen. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet CSRF-Token?
Unvorhersagbarer, sitzungsgebundener Wert in Formularen oder Headern, mit dem der Server bestatigt, dass zustandsandernde Anfragen aus seinen eigenen Seiten stammen.
Wie funktioniert CSRF-Token?
Ein CSRF-Token ist die klassische Abwehr gegen Cross-Site Request Forgery. Der Server erzeugt einen Zufallswert, bindet ihn an die Session und betten ihn in Formulare ein oder sendet ihn uber einen Custom-Header. Bei jeder zustandsandernden Anfrage vergleicht der Server den eingereichten Token mit dem erwarteten und weist Abweichungen ab. Varianten: Synchronizer-Token-Pattern (serverseitiger Zustand), Double-Submit-Cookies (stateless) und OWASP-HMAC-Muster. Moderne Anwendungen kombinieren CSRF-Token mit SameSite=Lax/Strict-Cookies, Custom-Headern, Origin/Referer-Validierung und strikter CORS-Konfiguration. Reine Bearer-Token-APIs aus JS brauchen keinen CSRF-Token, aber Anti-Replay-Massnahmen.
Wie schützt man sich gegen CSRF-Token?
Schutzmaßnahmen gegen CSRF-Token kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- attacks№ 239
Cross-Site-Request-Forgery (CSRF)
Webangriff, der den Browser eines authentifizierten Nutzers zwingt, unerwünschte Anfragen an eine verwundbare Anwendung zu senden und so ohne Zustimmung Zustandsänderungen auszulösen.
- appsec№ 961
SameSite-Cookie
Cookie-Attribut, das steuert, ob Browser das Cookie bei site-übergreifenden Anfragen mitsenden — Werte Strict, Lax und None —, vor allem zur CSRF-Minderung.
- identity-access№ 1020
Session-Token
Opaker Identifier, der nach der Authentifizierung ausgegeben wird und mit jeder Anfrage zuruckgesendet wird, damit der Server den Sitzungszustand findet.
- identity-access№ 1018
Session-Management
Die Gesamtheit der Kontrollen, die eine authentifizierte Sitzung ausstellen, pflegen, erneuern und widerrufen und so die Identität des Nutzers bis zu Logout oder Ablauf an nachfolgende Anfragen binden.
- appsec№ 983
Secure-Cookie-Flag
Cookie-Attribut, das den Browser anweist, das Cookie nur über HTTPS zu senden und so Klartext-Übertragung im Netzwerk zu verhindern.
- appsec№ 223
CORS (Cross-Origin Resource Sharing)
Vom Browser durchgesetzter Mechanismus, mit dem ein Server die Same-Origin Policy gezielt lockern kann, damit JavaScript einer Origin Antworten einer anderen lesen darf.