Огляд методів захисту Web-застосунків від вразливостей типу CSRF (міжсайтова підробка запитів)

Abstract

В статті представлено дослідження методів захисту Web-застосунків від вразливостей типу CSRF (міжсайтова підробка запитів). Проведене дослідження показало, що розробники Web-застосунків не приділяють достатньої уваги захисту від атак типу Міжсайтова підробка запитів, тому авторами було систематизовано та запропоновано комплекс методів захисту від CSRF-атак, та сформовано рекомендації для розробників Web-застосунків, для забезпечення комплексного захисту від CSRF-атак. Автори пропонують використовувати ряд методів, до яких відносяться: використання CSRF-токену у тілі запиту та у HTTP-заголовку, передача даних у альтернативному вигляді без використання MIME-типів класичних HTML-форм, перевірка заголовку Referer, використання атрибуту SameSite та підтвердження користувачем високочутливих операцій. Запропоновані методи дозволять розробникам створювати безпечні Web-застосунки, які будуть невразливі до CSRF-атак.