Frage zu CSRF

baserider

Well-known member
ID: 174417
L
10 März 2007
682
23
Hi,

habe mich eben mal etwas mit diesem Thema beschäftigt.
Ist die Abwehr solcher Angriffe nur auf Formulare beschränkt, die sich hinter einem Login befinden oder könnte man auch z.B. ein normales Kontaktformuar schützen?

Meist wird ja dazu in einem versteckten Feld ein Token hinterlegt und dieser dann mit dem Token aus der Session verglichen.

Um bei Kontaktformular zu bleiben: Es hindert mich ja niemand, den Quellcode inklusive Token zu kopieren und dann das Formular von einem anderen Server abzuschicken. Oder habe ich da was falsch verstanden?
 
Lies den Artikel und es wird dir klar was CSRF ist. Quelltext kopieren und zu einem Server schicken geht eben nicht, dazu ist eine XSS-Lücke nötig, und dann kann mit JS auch gleich die Lücke aushebeln.
Ein CSRF-Schutz funktioniert nicht, wenn du noch andere Lücken im System hast, womit sich der Schutz aushebeln lässt (XSS, Remote File Inclusion usw).
 
Quelltext kopieren und zu einem Server schicken hatte ich auch nie vor bzw. das auch nie unter CSRF verstanden.