Glosario · Seguridad

CSRF: Cross-Site Request Forgery

Ataque que fuerza al navegador de un usuario autenticado a ejecutar acciones no deseadas en una web donde tiene sesión activa.

Mecanismo típico: el usuario A está logueado en su banco. El atacante B le manda un email con un enlace que abre una página con un formulario oculto auto-submit hacia banco.com/transferir?destino=B&cantidad=1000. Si la web del banco no valida el origen de la petición, la transferencia se ejecuta.

Prevención estándar:

  • Token CSRF: un valor único generado por el servidor, incluido en cada formulario, verificado al submit. El atacante no puede obtener el token desde otro origen.
  • SameSite=Strict en cookies: el navegador no envía la cookie cuando la petición viene de otro dominio
  • Comprobación del header Origin/Referer en peticiones sensibles
  • Re-autenticación para acciones críticas (cambio de password, transferencias grandes)

Por qué importa

Cualquier formulario POST que ejecute una acción (cambio de datos, compra, transferencia) necesita protección CSRF. Los frameworks modernos (Laravel, Symfony, Rails) traen CSRF activo por defecto — si desactivas esa capa para "facilitar", vuelves atrás 15 años en seguridad.

Siguiente paso

¿Tienes un proyecto exigente entre manos?

Cuéntanos qué necesita tu empresa. En la primera llamada evaluamos viabilidad técnica, alcance y presupuesto cerrado. Sin compromiso.

Iniciar proyecto +34 659 998 350
Antes de cerrar

Un email cada dos semanas con lo que aprendemos.

Casos reales, decisiones técnicas con números, lecturas curadas. Sin "tips de LinkedIn", sin spam, sin emails en fin de semana.

Suscribirme a la newsletter