CSRF-Protection mittels Token

**h3ll** · 15.09.2014, 22:50

Dazu müsste der Angreifer erst mal an den Quelltext kommen.

**lx-club** · 15.09.2014, 22:54

Wenn der Token im hidden-Field steht, ist das doch kein Problem.

**h3ll** · 16.09.2014, 18:31

Zitat von lx-club Beitrag anzeigen

Wenn der Token im hidden-Field steht, ist das doch kein Problem.

Wenn der Angreifer nicht an den Quelltext kommt, kommt er auch nicht an das Hidden-Field.

**lx-club** · 16.09.2014, 19:56

Hi,

also ist immer Voraussetzung, das es sich um einen geschützen Bereich handelt? Ich dachte man könnte so auch sicherstellen, das Formulare immer nur über die jeweilige Website abgeschickt werden und nicht über z.B. einen eigenen Server, indem man sich einfach den Quellcode kopiert.

**h3ll** · 16.09.2014, 20:03

Zitat von lx-club Beitrag anzeigen

also ist immer Voraussetzung, das es sich um einen geschützen Bereich handelt? Ich dachte man könnte so auch sicherstellen, das Formulare immer nur über die jeweilige Website abgeschickt werden und nicht über z.B. einen eigenen Server, indem man sich einfach den Quellcode kopiert.

Ist ja egal, ob das Formular ein Browser oder ein Server absendet, solange er eine gültige Session hat.

**lx-club** · 16.09.2014, 20:15

ok, also verwendet man diesen Schutz, wenn es um geschützte Bereiche geht.

Kann man denn auch prüfen, ob z.B. ein Kontaktformular immer von einer Quelle (eigene Webseite) gesendet wurde und von nirgendwo anders?

**h3ll** · 16.09.2014, 20:37

Zitat von lx-club Beitrag anzeigen

Kann man denn auch prüfen, ob z.B. ein Kontaktformular immer von einer Quelle (eigene Webseite) gesendet wurde und von nirgendwo anders?

Nein.

CSRF-Protection mittels Token