Cross-Site Request Forgery CSRF

La vulnerabilidad CSRF (Cross-Site Request Forgery) es un tipo de ataque ~~de seguridad~~ que se produce cuando un usuario autenticado involuntariamente envía una solicitud malintencionada a un sitio web. Este ataque aprovecha la confianza del sitio web en la sesión activa del usuario para enviar una solicitud no autorizada, que puede provocar cambios no deseados en el estado de la cuenta del usuario, como transferencias de dinero, cambios de contraseña, eliminación de datos, entre otros.

Solución

Implementar tokens de seguridad ~~CSRF:~~CSRF ~~se pueden utilizar tokens de seguridad que se incluyen~~ en ~~los~~ formularios HTML yque se verifican en el servidor para garantizar que la solicitud sea legítima y no se haya falsificado.

~~Verificar~~Para elconocer ~~encabezado~~más ~~"Referer":~~a ~~se puede comprobar la cabecera "Referer"~~cerca de la ~~solicitud para garantizar que proviene del mismo sitio web~~vulnerabilidad y noformas de ~~un sitio malintencionado.~~

Utilizar cookies con la bandera "Secure" y "HttpOnly": Las cookies con la bandera "Secure" solo se envían a través de conexiones HTTPS y las cookies con la bandera "HttpOnly" solo se pueden acceder desde el servidor y no desde scripts del lado del cliente.

~~Implementar políticas de seguridad robustas en la aplicación, incluyendo prácticas de codificació~~mitigación ~~seguras~~consultar yCross-Site laRequest ~~validación~~Forgery ~~adecuada~~Prevention deCheat ~~entradas~~Sheet ~~y salidas de la aplicación.~~CSRF