Glosario · Seguridad

CSRF: Cross-Site Request Forgery

Ataque que fuerza al navegador de un usuario autenticado a ejecutar acciones no deseadas en una web donde tiene sesión activa.

Mecanismo típico: el usuario A está logueado en su banco. El atacante B le manda un email con un enlace que abre una página con un formulario oculto auto-submit hacia banco.com/transferir?destino=B&cantidad=1000. Si la web del banco no valida el origen de la petición, la transferencia se ejecuta.

Prevención estándar:

  • Token CSRF: un valor único generado por el servidor, incluido en cada formulario, verificado al submit. El atacante no puede obtener el token desde otro origen.
  • SameSite=Strict en cookies: el navegador no envía la cookie cuando la petición viene de otro dominio
  • Comprobación del header Origin/Referer en peticiones sensibles
  • Re-autenticación para acciones críticas (cambio de password, transferencias grandes)

Por qué importa

Cualquier formulario POST que ejecute una acción (cambio de datos, compra, transferencia) necesita protección CSRF. Los frameworks modernos (Laravel, Symfony, Rails) traen CSRF activo por defecto — si desactivas esa capa para "facilitar", vuelves atrás 15 años en seguridad.

Siguiente paso

¿Tienes un proyecto exigente entre manos?

Cuéntanos qué necesita tu empresa. En la primera llamada evaluamos viabilidad técnica, alcance y presupuesto cerrado. Sin compromiso.

Iniciar proyecto +34 659 998 350
Antes de irte

¿10 segundos para analizar tu web gratis?

Pon la URL de tu web y te damos el diagnóstico al momento: SEO, rich snippets, accesibilidad, seguridad y rendimiento. Sin registro ni email. Si después quieres informe humano, lo pides desde ahí.

Analizar mi web gratis