Featured image of post Protección CSRF: Tokens y SameSite CookiesFeatured image of post Protección CSRF: Tokens y SameSite Cookies

Protección CSRF: Tokens y SameSite Cookies

Understand how to secure cookie-based session architectures against Cross-Site Request Forgery (CSRF) using SameSite settings and token validation patterns.

Cross-Site Request Forgery (CSRF) engaña al navegador para ejecutar acciones no deseadas en un sitio donde el usuario está autenticado.

Cómo funciona CSRF

El atacante crea un formulario o enlace en su sitio que apunta a una acción en tu sitio (cambiar email, transferir dinero). Las cookies se envían automáticamente.

Tokens CSRF

Token único por sesión o formulario. Incluido como campo oculto en formularios o header en requests AJAX. El servidor valida el token en cada mutación.

SameSite Cookies

SameSite=Strict: no se envían en ningún contexto cruzado. SameSite=Lax: se envían en navegación top-level (GET). SameSite=None + Secure: para terceros legítimos.

Defensa en capas

SameSite cookies + CSRF tokens + verificación de Origin/Referer header + métodos seguros (POST para mutaciones, no GET).