Token CSRF
¿Qué es Token CSRF?
Token CSRFValor impredecible y por sesion incluido en formularios o cabeceras para que el servidor confirme que las peticiones que cambian estado proceden de sus propias paginas.
El token CSRF es la defensa estandar contra el Cross-Site Request Forgery. El servidor genera un valor aleatorio, lo asocia a la sesion del usuario y lo embebe en formularios HTML o lo envia en una cabecera. En cada peticion que cambia estado, compara el token enviado con el esperado y rechaza las discrepancias. Variantes: synchronizer token (estado en servidor), double-submit cookies (sin estado) y HMAC OWASP. Las aplicaciones modernas deben combinar tokens CSRF con cookies SameSite=Lax o Strict, cabeceras personalizadas, validacion de Origin/Referer y CORS estricto. Las APIs solo con bearer token desde JS no precisan token CSRF, pero si controles anti-replay.
● Ejemplos
- 01
Campo <input type="hidden" name="csrf" value="a8f1..."> en un formulario.
- 02
Cabecera X-CSRF-Token validada en servidor contra un secreto de sesion.
● Preguntas frecuentes
¿Qué es Token CSRF?
Valor impredecible y por sesion incluido en formularios o cabeceras para que el servidor confirme que las peticiones que cambian estado proceden de sus propias paginas. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Token CSRF?
Valor impredecible y por sesion incluido en formularios o cabeceras para que el servidor confirme que las peticiones que cambian estado proceden de sus propias paginas.
¿Cómo funciona Token CSRF?
El token CSRF es la defensa estandar contra el Cross-Site Request Forgery. El servidor genera un valor aleatorio, lo asocia a la sesion del usuario y lo embebe en formularios HTML o lo envia en una cabecera. En cada peticion que cambia estado, compara el token enviado con el esperado y rechaza las discrepancias. Variantes: synchronizer token (estado en servidor), double-submit cookies (sin estado) y HMAC OWASP. Las aplicaciones modernas deben combinar tokens CSRF con cookies SameSite=Lax o Strict, cabeceras personalizadas, validacion de Origin/Referer y CORS estricto. Las APIs solo con bearer token desde JS no precisan token CSRF, pero si controles anti-replay.
¿Cómo defenderse de Token CSRF?
Las defensas contra Token CSRF combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- attacks№ 239
Cross-Site Request Forgery (CSRF)
Ataque web que fuerza al navegador de un usuario autenticado a enviar peticiones no deseadas a un sitio vulnerable, ejecutando acciones sin su consentimiento.
- appsec№ 961
Cookie SameSite
Atributo de cookie que controla si el navegador la envía en solicitudes entre sitios, con valores Strict, Lax y None, usado sobre todo para mitigar CSRF.
- identity-access№ 1020
Token de sesion
Identificador opaco emitido tras la autenticacion que el cliente envia en cada peticion para que el servidor recupere el estado de sesion del usuario.
- identity-access№ 1018
Gestión de sesiones
Conjunto de controles que emiten, mantienen, renuevan y revocan una sesión autenticada, vinculando la identidad del usuario a las peticiones posteriores hasta el cierre o la caducidad.
- appsec№ 983
Flag de cookie Secure
Atributo de cookie que indica al navegador enviarla únicamente por HTTPS, evitando que viaje en claro por la red.
- appsec№ 223
CORS (Intercambio de Recursos entre Orígenes)
Mecanismo aplicado por el navegador que permite a un servidor relajar selectivamente la política del mismo origen para que JavaScript de un origen pueda leer respuestas de otro.