Token CSRF
O que é Token CSRF?
Token CSRFValor imprevisivel por sessao embutido em formularios ou cabecalhos para o servidor confirmar que pedidos que alteram estado vem das suas proprias paginas.
O token CSRF e a defesa canonica contra Cross-Site Request Forgery. O servidor gera um valor aleatorio, associa-o a sessao do utilizador e inclui-o em formularios HTML ou envia-o por header customizado. Em cada pedido que altera estado, compara o token submetido com o esperado e rejeita divergencias. Variantes: synchronizer token (estado no servidor), double-submit cookies (stateless) e padrao HMAC OWASP. Apps modernas combinam tokens CSRF com cookies SameSite=Lax ou Strict, headers personalizados, validacao de Origin/Referer e CORS estrito. APIs apenas com bearer token chamadas via JS nao precisam de token CSRF, mas continuam a precisar de controlos anti-replay.
● Exemplos
- 01
Campo <input type="hidden" name="csrf" value="a8f1..."> num formulario.
- 02
Header X-CSRF-Token validado no servidor contra um segredo de sessao.
● Perguntas frequentes
O que é Token CSRF?
Valor imprevisivel por sessao embutido em formularios ou cabecalhos para o servidor confirmar que pedidos que alteram estado vem das suas proprias paginas. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Token CSRF?
Valor imprevisivel por sessao embutido em formularios ou cabecalhos para o servidor confirmar que pedidos que alteram estado vem das suas proprias paginas.
Como se defender contra Token CSRF?
As defesas contra Token CSRF costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.