CSRF (Cross-Site Request Forgery) ist ein Webangriff, bei dem ein Angreifer einen authentifizierten Benutzer dazu bringt, unbeabsichtigt eine Aktion in einer Webanwendung auszuführen — etwa eine Überweisung, eine Passwortänderung oder eine Konfigurationsänderung.
Im ISMS adressieren ISO 27001 Annex A Controls A.8.25 (Sichere Entwicklung) und A.8.26 (Anforderungen an die Anwendungssicherheit) dieses Risiko. Die Standardabwehr ist das Anti-CSRF-Token: Ein zufälliger Wert, der bei Formular-Requests mitgesendet und serverseitig validiert wird. Moderne Frameworks (Django, Rails, Spring) implementieren CSRF-Schutz standardmäßig. Zusätzliche Maßnahmen sind SameSite-Cookie-Attribute und die Prüfung des Origin-/Referer-Headers. CSRF ist in der OWASP Top 10 historisch prominent und bleibt relevant bei Legacy-Anwendungen.