SEOMaster
CSRF
Podszycie się pod żądanie użytkownika.
Co to jest CSRF?
CSRF (Cross-Site Request Forgery) to atak, w którym złośliwa strona zmusza zalogowaną przeglądarkę ofiary do wykonania akcji w innym serwisie — np. zmiany hasła czy przelewu — wykorzystując to, że ciasteczko sesji jest dołączane automatycznie.
Użytkownik nieświadomie „klika” w żądanie, które serwer uznaje za pochodzące od niego. Bronią przed tym tokeny CSRF i atrybut SameSite ciasteczek.
Dlaczego to ważne dla SEO
CSRF pozwala wykonać akcje bez wiedzy użytkownika, korzystając z jego sesji. Ochrona jest tania (token + SameSite), a jej brak — kosztowny.
Jak to sprawdzić
To kwestia backendu; sprawdź, czy formularze zmieniające dane używają tokenu CSRF, a ciasteczka sesji mają atrybut SameSite. To zwykle ustawienie frameworka.
Częste błędy
- Brak tokenów CSRF przy akcjach zmieniających dane
- Ciasteczka sesji bez atrybutu SameSite
- Użycie metody GET do operacji zmieniających stan
Przykład
Formularz: <input type="hidden" name="_csrf" value="…">