📖
Segurança

CSRF

Cross-Site Request Forgery. Site malicioso dispara ação em seu site usando cookies do usuário.

📚 O que é

Browser envia cookies automaticamente em todo request. Site mal-intencionado faz form POST para seu site. Servidor recebe cookies válidos e executa a ação. SameSite=Lax/Strict e CSRF tokens previnem.

✅ Quando usar

Proteger: todo endpoint de mutação (POST, PUT, DELETE).

🚫 Quando NÃO usar

N/A — sempre proteja endpoints de mutação.

👍 Prós
N/A — é ameaça
👎 Contras
Transações não autorizadas
Mudança de dados
Ações em nome do usuário sem consentimento
🔗 Termos relacionados
XSS
Segurança

Cross-Site Scripting. Injeção de JavaScript malicioso em página confiável.

CORS
Segurança

Cross-Origin Resource Sharing. Browser bloqueia requests cross-origin por padrão. Servidor pode liberar via headers.

CSP
Segurança

Content Security Policy. Header HTTP que restringe o que pode executar na página.

HttpOnly
Segurança

Flag de cookie que impede acesso via JavaScript. Protege contra roubo de token por XSS.

SameSite
Segurança

Flag de cookie que controla envio em requests cross-site. Principal defesa contra CSRF.