Token CSRF
O que é Token CSRF?
Token CSRFValor imprevisivel por sessao embutido em formularios ou cabecalhos para o servidor confirmar que pedidos que alteram estado vem das suas proprias paginas.
O token CSRF e a defesa canonica contra Cross-Site Request Forgery. O servidor gera um valor aleatorio, associa-o a sessao do utilizador e inclui-o em formularios HTML ou envia-o por header customizado. Em cada pedido que altera estado, compara o token submetido com o esperado e rejeita divergencias. Variantes: synchronizer token (estado no servidor), double-submit cookies (stateless) e padrao HMAC OWASP. Apps modernas combinam tokens CSRF com cookies SameSite=Lax ou Strict, headers personalizados, validacao de Origin/Referer e CORS estrito. APIs apenas com bearer token chamadas via JS nao precisam de token CSRF, mas continuam a precisar de controlos anti-replay.
● Exemplos
- 01
Campo <input type="hidden" name="csrf" value="a8f1..."> num formulario.
- 02
Header X-CSRF-Token validado no servidor contra um segredo de sessao.
● Perguntas frequentes
O que é Token CSRF?
Valor imprevisivel por sessao embutido em formularios ou cabecalhos para o servidor confirmar que pedidos que alteram estado vem das suas proprias paginas. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Token CSRF?
Valor imprevisivel por sessao embutido em formularios ou cabecalhos para o servidor confirmar que pedidos que alteram estado vem das suas proprias paginas.
Como funciona Token CSRF?
O token CSRF e a defesa canonica contra Cross-Site Request Forgery. O servidor gera um valor aleatorio, associa-o a sessao do utilizador e inclui-o em formularios HTML ou envia-o por header customizado. Em cada pedido que altera estado, compara o token submetido com o esperado e rejeita divergencias. Variantes: synchronizer token (estado no servidor), double-submit cookies (stateless) e padrao HMAC OWASP. Apps modernas combinam tokens CSRF com cookies SameSite=Lax ou Strict, headers personalizados, validacao de Origin/Referer e CORS estrito. APIs apenas com bearer token chamadas via JS nao precisam de token CSRF, mas continuam a precisar de controlos anti-replay.
Como se defender contra Token CSRF?
As defesas contra Token CSRF costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- attacks№ 239
Cross-Site Request Forgery (CSRF)
Ataque web que força o browser de um utilizador autenticado a enviar pedidos indesejados a um site vulnerável, executando ações sem o seu consentimento.
- appsec№ 961
Cookie SameSite
Atributo de cookie que controla se o navegador o envia em requisições entre sites, com valores Strict, Lax e None, usado sobretudo para mitigar CSRF.
- identity-access№ 1020
Token de sessao
Identificador opaco emitido apos autenticacao e devolvido pelo cliente em cada pedido para o servidor recuperar o estado da sessao do utilizador.
- identity-access№ 1018
Gestão de sessões
Conjunto de controlos que emitem, mantêm, renovam e revogam uma sessão autenticada, ligando a identidade do utilizador aos pedidos subsequentes até ao logout ou expiração.
- appsec№ 983
Flag de cookie Secure
Atributo de cookie que diz ao navegador para enviá-lo apenas sobre HTTPS, evitando que trafegue em claro pela rede.
- appsec№ 223
CORS (Compartilhamento de Recursos entre Origens)
Mecanismo aplicado pelo navegador que permite ao servidor relaxar seletivamente a política de mesma origem para que JavaScript de uma origem possa ler respostas de outra.