Apa itu CSRF?
Cross-site request forgery, dikenal pun dengan one click attack atau session riding disingkat dengan CSRF atau XSRF, merupakan format eksploitasi situs yang dieksekusi atas wewenang korban, tanpa dikehendakinya. CSRF menipu web site melewati request dari user yang dipercaya. Serangan bekerja melewati link atau script pada halaman site yang diakses user. Link itu dapat berupa gambar/image yang terhubung ke situs tertentu.
Jika situs menyimpan informasi otentikasi dalam suatu cookie yang belum expire, maka dengan mengerjakan klik ke link itu akan mengakibatkan website diakses memakai cookie user yang mengerjakan klik. Dengan kata lain, penyerang menipu browser user untuk mengantarkan HTTP requests ke situs target.
Untuk meminimalkan akibat dari celah ketenteraman dari CSRF user dapat melakukan sejumlah pencegahan inilah ini :
Website berpindah dari metoda persistent authentication (menggunakan otentikasi dengan cookie atau HTTP) ke metoda transient authentication (menggunakan hidden field oleh masing-masing form).
Menyertakan token user-specific rahasia yang ditambahkan ke cookie.
Meskipun cross-site request forgery pada dasarnya ialah masalah dengan software web, user bisa membantu mengayomi accountnya dengan logoff site sebelum mendatangi yang beda atau mencuci cookie browsernya pada akhir session browser.
Menggunakan SSL (Secure Socket Layer) and TLS (Transport Layer Security) encryption saat berurusan dengan data yang sensitive.
Setting dan restrict security berhubungan header HTTP, diantaranya Mengatur Content-Security-Policy, Menonaktifkan X-Powered-By, Mengatur Strict-Transport-Security, Mengatur X-XSS-Protection.
Baca contoh serangan Cross-Site Request Forgery.