O que é Cross-Site Request Forgery (CSRF)? Significado, definição e exemplos

O Cross-Site Request Forgery (CSRF) explora o facto de os browsers anexarem automaticamente cookies e outras credenciais a pedidos enviados. Uma vítima que já esteja autenticada no site-alvo é induzida a carregar uma página maliciosa que submete formulários ou faz chamadas de API em segundo plano, executando ações como mudar a palavra-passe, transferir dinheiro ou alterar definições — tudo em nome do utilizador legítimo. As defesas incluem tokens anti-CSRF (synchronizer token), cookies SameSite (Lax ou Strict), padrões double-submit, exigir reautenticação para ações sensíveis, validar os cabeçalhos Origin/Referer e usar credenciais fora dos cookies, como bearer tokens em memória.

● Exemplos

Um utilizador autenticado abre uma página controlada pelo atacante que faz, em segundo plano, um POST para /transfer e movimenta dinheiro da sua conta bancária.

Um administrador clica num link que submete um formulário oculto para /users/promote, atribuindo privilégios administrativos ao atacante.

● Perguntas frequentes

O que é Cross-Site Request Forgery (CSRF)?

Ataque web que força o browser de um utilizador autenticado a enviar pedidos indesejados a um site vulnerável, executando ações sem o seu consentimento. Pertence à categoria Ataques e ameaças da cibersegurança.

O que significa Cross-Site Request Forgery (CSRF)?

Ataque web que força o browser de um utilizador autenticado a enviar pedidos indesejados a um site vulnerável, executando ações sem o seu consentimento.

Como se defender contra Cross-Site Request Forgery (CSRF)?

As defesas contra Cross-Site Request Forgery (CSRF) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para Cross-Site Request Forgery (CSRF)?

Nomes alternativos comuns: CSRF, Session riding.

Cross-Site Request Forgery (CSRF)