Schützt vor Cross-Site-Request-Forgery Angriffen.
Was ist ein CSRF-Token?
Ein CSRF-Token (Cross-Site Request Forgery Token) ist ein Sicherheitsmechanismus, um sogenannte Cross-Site Request Forgery-Angriffe zu verhindern.
Dabei wird ein Benutzer, der bereits eingeloggt ist oder eine gültige Session besitzt, dazu gebracht, ungewollte Aktionen auf einer Website auszuführen – z. B. durch manipulierte Links oder versteckte Formulare.
Das CSRF-Token dient als zusätzlicher "geheimer Schlüssel", der jeder Anfrage beigelegt wird. Da ein Angreifer diesen Schlüssel nicht kennt, lassen sich unautorisierte Aktionen blockieren.
HTTPS CSRF Token in Contao
Contao nutzt ein spezielles HTTPS CSRF Token, um genau solche Angriffe zu verhindern.
Eigenschaften:
-
Sessiongebunden
-
Über HTTPS abgesichert
-
Das Token ist nur bei verschlüsselten Verbindungen sinnvoll, da es sonst abgefangen werden könnte.
-
Contao setzt es daher standardmäßig nur ein, wenn die Seite über HTTPS läuft.
-
Gültigkeitsprüfung
-
Bei jeder sicherheitsrelevanten Anfrage (z. B. Formular-POST, Backend-Operationen, AJAX-Requests) wird geprüft, ob das Token vorhanden und korrekt ist.
-
Fehlt es oder ist es falsch, wird die Anfrage abgewiesen.
-
Automatisches Einfügen
Funktionsweise im Ablauf
-
Generierung
-
Verwendung
-
Validierung
-
Stimmen die Werte überein → Anfrage wird akzeptiert.
-
Stimmen sie nicht überein oder fehlt das Token → Anfrage wird blockiert, um CSRF zu verhindern.
Das Contao HTTPS CSRF Token ist ein sicherheitskritisches Feature, das automatisch in allen sicherheitsrelevanten Anfragen eingebaut wird. Es schützt Benutzer und das System vor ungewollten Aktionen durch Angreifer, indem es jede Anfrage mit einem eindeutigen, sessiongebundenen Schlüssel absichert.
Kommentar von Viktor |
Freut mich, deine ausführliche Beschreibung. Das ist ne Menge Arbeit, viele Details und kleine /grosse Probleme.
Rakumi…. Der Name passt, gefällt mir.