CSRF, CORS und Same-Origin-Policy: Ein Sicherheits-Duell der Browser
Dieser Artikel befasst sich mit den Web-Sicherheitsmechanismen CSRF (Cross-Site Request Forgery) und CORS (Cross-Origin Resource Sharing). Obwohl beide mit Cross-Site-Requests zusammenhängen, unterscheiden sich ihre Funktionen und Mechanismen erheblich. Standardmäßig erzwingen Browser die Same-Origin-Policy, die Cross-Site-Schreibzugriffe einschränkt, aber Cross-Site-Lesezugriffe zulässt. CSRF nutzt Schwachstellen in dieser Policy aus, während CORS einen Mechanismus bietet, um bestimmte Cross-Site-Requests zuzulassen. Der Artikel analysiert die Auswirkungen des SameSite-Attributs auf CSRF, die entscheidende Rolle von Browsern in der gesamten Sicherheitsarchitektur und stellt fest, dass die Akzeptanz des SameSite=Lax-Standards durch Browser die Internetsicherheit direkt beeinflussen wird.
Mehr lesen