Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Русский
Entry № 267

Подделка межсайтовых запросов (CSRF)

ПроверилCybersecurity entrepreneur & security researcher

Что такое Подделка межсайтовых запросов (CSRF)?

Подделка межсайтовых запросов (CSRF)Веб-атака, заставляющая браузер аутентифицированного пользователя отправлять нежелательные запросы к уязвимому сайту и выполнять действия без его согласия.

Подделка межсайтовых запросов (CSRF) использует то, что браузеры автоматически прикрепляют cookie и другие учётные данные к исходящим запросам. Жертву, уже авторизованную в целевом сайте, заставляют открыть вредоносную страницу, которая в фоне отправляет формы или API-запросы и выполняет действия — смену пароля, перевод средств, изменение настроек — от имени легитимного пользователя. Меры защиты: синхронизирующие anti-CSRF токены, cookie с атрибутом SameSite (Lax или Strict), паттерн double-submit, повторная аутентификация для критичных действий, валидация заголовков Origin/Referer и использование некукиовых учётных данных, например bearer-токенов в памяти.

Примеры

  1. 01

    Авторизованный пользователь открывает контролируемую злоумышленником страницу, которая в фоне делает POST на /transfer и переводит деньги с банковского счёта.

  2. 02

    Администратор кликает по ссылке, скрытая форма которой отправляется на /users/promote и выдаёт злоумышленнику административные права.

Частые вопросы

Что такое Подделка межсайтовых запросов (CSRF)?

Веб-атака, заставляющая браузер аутентифицированного пользователя отправлять нежелательные запросы к уязвимому сайту и выполнять действия без его согласия. Относится к категории Атаки и угрозы в кибербезопасности.

Что означает Подделка межсайтовых запросов (CSRF)?

Веб-атака, заставляющая браузер аутентифицированного пользователя отправлять нежелательные запросы к уязвимому сайту и выполнять действия без его согласия.

Как защититься от Подделка межсайтовых запросов (CSRF)?

Защита от Подделка межсайтовых запросов (CSRF) обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Подделка межсайтовых запросов (CSRF)?

Распространённые альтернативные названия: CSRF, Session riding.

Связанные термины

См. также