CSRF Token Nedir 
Oturum Üzerinden Yapılan Gizli İşlemleri Engellemenin Anahtarı
CSRF Token Nedir
CSRF Token, bir kullanıcının oturumu açıkken haberi olmadan işlem yaptırmayı hedefleyen CSRF saldırılarına karşı kullanılan benzersiz ve tahmin edilemez doğrulama anahtarıdır.
Oturum tek başına yetmez;
Niyet kanıtlanmalıdır.
CSRF Saldırısı Kısaca Nasıl Çalışır
Kullanıcı sisteme giriş yapmıştır
Kötü niyetli bir sayfayı ziyaret eder Tarayıcı, oturum cookie’sini otomatik gönderir Sistem isteği meşru sanır
CSRF Token Bu Zinciri Nerede Kırar
Her kritik isteğe tekil bir token eklenir Saldırgan bu token’ı bilemez Oturum var ama imza yoksa işlem reddedilir
Neden Cookie Tek Başına Yetersiz
Cookie’ler tarayıcı tarafından otomatik gönderilir Kaynak sorgulanmaz CSRF’nin gücü buradan gelir
CSRF Token Nasıl Üretilir
Kriptografik olarak rastgele Tahmin edilemez Her kullanıcıya (hatta her isteğe) özel
Token Nerede Saklanır
HTML form içinde (hidden field) JavaScript ile header’da Oturumla eşleştirilmiş olmalıdır
Form Bazlı CSRF Koruması
Form render edilirken token eklenir Submit sırasında token doğrulanır En klasik ve güvenilir yöntemlerden biridir
AJAX ve API’lerde CSRF Token
Header üzerinden gönderilir (X-CSRF-Token) Backend her istekte kontrol eder “Sadece frontend var” yanılgısı çözüm değildir
Double Submit Cookie Yöntemi
Token cookie’de Aynı token request içinde de gönderilir İkisi eşleşmezse işlem iptal
SameSite Cookie CSRF’yi Bitirir mi
Hayır, yardımcıdır SameSite=Lax/Strict bazı senaryoları engeller Ama token’ın yerini tutmaz CSRF Token ile JWT Birlikte Kullanılır mı
JWT stateless olabilir Ama cookie ile taşınıyorsa CSRF riski doğar Token + CSRF Token birlikte düşünülmelidir Hangi İşlemler CSRF’ye Karşı Korunmalı
Para transferi
Ayar değişiklikleri
Silme / güncelleme işlemleri State-changing her şey GET İstekleri CSRF’ye Açık mı
GET ile işlem yapılmamalıdır Sadece veri okumalıdır Aksi, tasarım hatasıdır WAF CSRF’yi Engeller mi
Zor CSRF meşru istektir Çözüm uygulama katmanındadır Token Süresi ve Yenilenmesi
Çok uzun süre risklidir Oturumla senkron olmalıdır Zaman, güvenliğin parçasıdır En Sık Yapılan CSRF Hataları
Token kontrolünü unutmak Sadece frontend’de doğrulamak Backend doğrulaması şarttır CSRF Token XSS’ye Karşı Korur mu
Hayır XSS varsa token da okunur XSS → CSRF’nin kilidini açar En Büyük Yanılgı
“Bizde önemli işlem yok.” Küçük ayar değişikliği bile kritiktir Yetki = güçtür Son Söz Oturum Yetmez, Niyet Gerekir
CSRF Token, kullanıcının gerçekten bu işlemi istediğinin kanıtıdır. Oturum güvenlidir ama kullanım bağlamı doğrulanmazsa yeterli değildir. Güvenli sistem, her işlemde niyeti sorar.