2026.06.18.
Weboldal fejlesztés és SEO

CSRF védelem webes űrlapok biztonságához

Temesvári László

CSRF védelem megvalósítása hagyományos webes űrlapoknál

Bevezetés: Mi az a CSRF és miért fontos a védelem?

A CSRF (Cross-Site Request Forgery) egy olyan webes biztonsági rést kihasználó támadás, ahol a támadó ráveszi a hitelesített felhasználót, hogy ismeretlenül és akaratán kívül végrehajtson olyan műveleteket egy webalkalmazásban, amelyekre jogosult. Képzeljük el, hogy bejelentkezünk a banki felületünkre, majd meglátogatunk egy ártatlan kinézetű weboldalt. Ez az oldal láthatatlanul elküldhet egy kérelmet a banki rendszer felé, amely például átutalást kezdeményez. Mivel a böngészőnk automatikusan elküldi a munkamenet cookie-ját, a kérés hitelesnek tűnik a szerver számára.

Hagyományos, szerveroldali renderelésű webes űrlapoknál (pl. PHP, Java Spring MVC, ASP.NET, Ruby on Rails) a CSRF védelem kötelező biztonsági intézkedés. Enélkül az alkalmazásunk komoly kockázatnak van kitéve, és a felhasználói adatok sértetlensége is veszélybe kerülhet.

A CSRF védelem alapelve: Token alapú védelem

A legelterjedtebb és leghatékonyabb védelem a szinkronizátor token minta (Synchronizer Token Pattern). Ennek lényege, hogy minden olyan űrlaphoz (POST, PUT, DELETE kérésekhez), amely állapotváltoztató műveletet végez, a szerver egy egyedi, kiszámíthatatlan tokent rendel, majd a kérés feldolgozásakor ellenőrzi annak érvényességét. A token tipikusan a felhasználói munkamenethez vagy egy speciális, CSRF-védelemre szolgáló tokenhez van kötve.

A tokennek a kérésben két helyen kell megjelennie: 1. Egy rejtett mezőben (hidden input) az űrlapon belül. 2. A felhasználó munkamenetében (session) a szerver oldalán.

A szerver a kérést feldolgozás előtt összehasonlítja a két tokent. Egyezés esetén a kérés legitim, eltérés vagy hiány esetén pedig elutasítja azt.

Gyakorlati implementáció PHP nyelven

Nézzünk egy konkrét példát PHP nyelven, amely bemutatja a CSRF token generálását, az űrlapba ágyazását és az ellenőrzését.

1. Token generálása és tárolása

Először létrehozunk egy segédfüggvényt, amely létrehozza a tokent, és elmenti a munkamenetbe. Fontos, hogy a token kellően véletlenszerű legyen.

// functions.php
function generateCsrfToken() {
    if (empty($_SESSION['csrf_token'])) {
        // Egy erős, kriptográfiailag biztonságos véletlen token generálása
        $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
    }
    return $_SESSION['csrf_token'];
}

2. Token beágyazása az űrlapba

Minden állapotváltoztató űrlapunkban el kell helyeznünk a tokent egy rejtett mező formájában.

<!-- form.php -->

    
    
    
    <!-- CSRF token rejtett mezője -->
    <input type="hidden" name="csrf_token" value="">
    
    <button type="submit">Regisztráció</button>

3. Token ellenőrzése a kérés feldolgozásakor

A kérést fogadó szkriptben a legelső lépésként ellenőriznünk kell a token érvényességét.

// process.php
session_start();

function validateCsrfToken($submittedToken) {
    if (!isset($_SESSION['csrf_token']) || !isset($submittedToken)) {
        return false;
    }
    // Időalapú érvényességet is ellenőrizhetünk, ha a tokent időbélyeggel tároltuk.
    return hash_equals($_SESSION['csrf_token'], $submittedToken);
}

// Feldolgozás előtti ellenőrzés
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $submittedToken = $_POST['csrf_token'] ?? '';
    
    if (!validateCsrfToken($submittedToken)) {
        // Token érvénytelen – leállítjuk a feldolgozást
        http_response_code(403);
        die('Érvénytelen vagy hiányzó CSRF token. A művelet megtagadva.');
    }
    
    // Token érvényes – biztonságosan feldolgozhatjuk az űrlap adatait
    $username = htmlspecialchars($_POST['username']);
    $email = htmlspecialchars($_POST['email']);
    // ... adatfeldolgozás és adatbázis mentés ...
    
    // Opcionális: token újragenerálása (Token Re-Generation) a további biztonság érdekében
    unset($_SESSION['csrf_token']);
    
    echo "Sikeres regisztráció!";
}

Gyakori hibák és tanulságok

1. Token hiánya GET kéréseknél: A CSRF tokeneket csak állapotváltoztató műveletekhez (POST, PUT, DELETE) szabad használni. GET kérések soha nem változtathatnak állapotot az alkalmazásban, így ott nem szükséges a token. 2. Gyenge token generálás: Ne használjunk kiszámítható tokeneket, mint például md5(time()) vagy uniqid(). Mindig használjunk kriptográfiailag biztonságos véletlenszám-generátort (random_bytes() PHP-ban, SecureRandom Javában). 3. Token megosztása több űrlap között: Ideális esetben minden űrlapküldéshez egy új tokent generáljunk, vagy legalább munkamenetenként használjunk egyet. Soha ne használjunk alkalmazás szintű, statikus tokent. 4. Token kiszivárgása: Ügyeljünk arra, hogy a tokent soha ne logoljuk, ne tegyük bele API válaszokba vagy URL-ekbe, ahol a referrer header-en keresztül kiszivároghat. 5. Ellenőrzés kihagyása fejlesztés közben: A fejlesztői környezetben is mindig legyen bekapcsolva a védelem, hogy a rutin kialakuljon.

Összegzés

A CSRF védelem hagyományos webes űrlapoknál egy alapvető és kötelező lépés a biztonságos alkalmazásfejlesztésben. A szinkronizátor token minta implementációja viszonylag egyszerű, de rendkívül hatékony védekezést nyújt a keresztoldali kéréshamisítás ellen. Kulcsfontosságú a kriptográfiailag erős tokenek generálása, a munkamenethez való kötés, valamint a minden egyes releváns kérésnél történő szigorú ellenőrzés. Ennek a gyakorlatnak a beépítése a fejlesztési munkafolyamatba nem csupán a felhasználókat, hanem az alkalmazás reputációját is védi. Ne feledjük: a biztonság nem egy feature, hanem alapkövetelmény.

Kapcsolódó cikkek