Prevenção de ataques Cross-site Request Forgery (CSRF)

Cross-site Request Forgery (CSRF) é um tipo de ataque de websites maliciosos. Um ataque CSRF às vezes é chamado de ataque de um clique ou transporte de sessão. Esse tipo de ataque envia solicitações desautorizadas de um usuário no qual o website confia.

CSRF utiliza a confiança que um site tenha no navegador de um usuário autenticado para ataques maliciosos. CSRF utiliza links ou scripts para enviar solicitações de HTTP involuntárias para um site de destino onde o usuário está autenticado. A menos que sejam tomadas precauções, as páginas de gerenciamento do WebSEAL, como /pkmslogout, estão suscetíveis a um ataque CSRF. Por exemplo, um intruso pode obter um usuário autenticado do WebSEAL, efetuar logout, obtendo seus navegadores para seguir um link para /pkmslogout.

Você pode configurar o WebSEAL para ajudar a minimizar esse tipo de vulnerabilidade.