CSRF-Protection mittels Token

**h3ll** · 15-09-2014, 22:50

Dazu müsste der Angreifer erst mal an den Quelltext kommen.

**lx-club** · 15-09-2014, 22:54

Wenn der Token im hidden-Field steht, ist das doch kein Problem.

**h3ll** · 16-09-2014, 18:31

Originally posted by lx-club View Post

Wenn der Token im hidden-Field steht, ist das doch kein Problem.

Wenn der Angreifer nicht an den Quelltext kommt, kommt er auch nicht an das Hidden-Field.

**lx-club** · 16-09-2014, 19:56

Hi,

also ist immer Voraussetzung, das es sich um einen geschützen Bereich handelt? Ich dachte man könnte so auch sicherstellen, das Formulare immer nur über die jeweilige Website abgeschickt werden und nicht über z.B. einen eigenen Server, indem man sich einfach den Quellcode kopiert.

**h3ll** · 16-09-2014, 20:03

Originally posted by lx-club View Post

also ist immer Voraussetzung, das es sich um einen geschützen Bereich handelt? Ich dachte man könnte so auch sicherstellen, das Formulare immer nur über die jeweilige Website abgeschickt werden und nicht über z.B. einen eigenen Server, indem man sich einfach den Quellcode kopiert.

Ist ja egal, ob das Formular ein Browser oder ein Server absendet, solange er eine gültige Session hat.

**lx-club** · 16-09-2014, 20:15

ok, also verwendet man diesen Schutz, wenn es um geschützte Bereiche geht.

Kann man denn auch prüfen, ob z.B. ein Kontaktformular immer von einer Quelle (eigene Webseite) gesendet wurde und von nirgendwo anders?

**h3ll** · 16-09-2014, 20:37

Originally posted by lx-club View Post

Kann man denn auch prüfen, ob z.B. ein Kontaktformular immer von einer Quelle (eigene Webseite) gesendet wurde und von nirgendwo anders?

Nein.

CSRF-Protection mittels Token