CSRF (Cross-Site Request Forgery)

O CSRF força um usuário autenticado a executar ações indesejadas em uma aplicação web na qual ele está logado.

Como funciona o ataque

Um site malicioso faz um POST para api.telemedicina.com/user/delete enquanto o usuário ainda tem o cookie de sessão ativo em seu navegador. Como o navegador envia os cookies automaticamente, a API pode processar a requisição como legítima.

Melhores Práticas

✅ Como fazer

Use Cookies com atributo SameSite=Strict ou Lax.
Implemente tokens Anti-CSRF no Backend.
Exija cabeçalhos customizados (como X-Requested-With) que não podem ser enviados em requisições cross-site sem preflight.

❌ Como não fazer

Não use cookies de autenticação sem a flag SameSite.
Não confie apenas no cabeçalho Referer ou Origin, pois podem ser omitidos ou manipulados em alguns cenários.

Vulnerabilidades Web

Plataforma e Proteções

Navegador e Platform

Cookies e Sessão

Headers e Políticas

Frameworks e UI

Integração com APIs

Governança e Ferramentas

CSRF (Cross-Site Request Forgery)

Como funciona o ataque

Melhores Práticas

✅ Como fazer

❌ Como não fazer

Navegador e Platform

Cookies e Sessão

Headers e Políticas

Frameworks e UI

Integração com APIs

CSRF (Cross-Site Request Forgery) ​

Como funciona o ataque ​

Melhores Práticas ​

✅ Como fazer ​

❌ Como não fazer ​

CSRF (Cross-Site Request Forgery)

Como funciona o ataque

Melhores Práticas

✅ Como fazer

❌ Como não fazer