Codemm.it

Token CSRF: Guida completa a come proteggere le applicazioni web con i CSRF Token

26. Settembre 2025 By TeamEditoriale Non attivi
Pre

Nel mondo della sicurezza web, proteggere le sessioni degli utenti è una priorità. Uno degli attacchi più comuni e subdoli è il CSRF (Cross-Site Request Forgery), dove un malintenzionato induce un utente autenticato a compiere azioni indesiderate su un sito di fiducia. La soluzione chiave per prevenire tali attacchi è l’uso corretto del token CSRF (CSRF token). In questa guida esploreremo cosa sia il token CSRF, come funziona, quali pratiche adottare e come implementarlo in diversi contesti tecnologici. Comprendere bene il token CSRF significa aumentare significativamente la sicurezza delle operazioni sensibili, senza compromettere l’esperienza utente.

Cos’è il CSRF e perché è cruciale utilizzare un token CSRF

Il CSRF è un tipo di attacco in cui una richiesta non autorizzata viene inviata da un browser dell’utente autenticato a un server, sfruttando l’autenticazione dell’utente stesso. Immagina un utente loggato su un sito bancario; se visita una pagina malevola, quella pagina potrebbe inviare una richiesta di trasferimento denaro senza che l’utente se ne accorga. Il CSRF si basa sull’assunzione che il browser dell’utente abbia già acquisito una sessione valida e che le richieste possano essere inviate automaticamente insieme ai cookie di sessione. Un token CSRF, noto anche come CSRF token, è un valore unico e imprevedibile associato alla sessione dell’utente o al modulo specifico. Questo token viene verificate dal server per assicurarsi che la richiesta sia stata generata intenzionalmente dall’applicazione stessa, e non proveniente da un dominio maligno.

In breve, perché serve un token CSRF? perché offre una protezione robusta contro le manipolazioni di stato non autorizzate. Senza di esso, le operazioni di modifica dati, come l’invio di fondi, la creazione di account o l’aggiornamento di profili, diventano vulnerabili a richieste forgiate. L’adozione del token CSRF è una best practice ormai consolidata nello sviluppo sicuro, ed è particolarmente critica per le applicazioni che espongono endpoint di stato sensibile, come pagamenti, gestione di account e cambiamenti di configurazione.

Come funziona un CSRF token: meccanismo di generazione e validazione

Il principio fondante è semplice: ad ogni richiesta di tipo modificante (ad esempio POST, PUT, DELETE) associata a una pagina o a un modulo, il client deve inviare un token CSRF che il server può verificare. Se la validazione fallisce, la richiesta viene rifiutata. Ecco i passaggi tipici:

  1. Generazione: quando una pagina viene resa, il server genera un token CSRF unico e lo include nel contenuto della pagina (come un hidden field in un modulo o come un token in un header JSX). Questo token è legato alla sessione dell’utente o al contesto dell’applicazione.
  2. Distribuzione: il token CSRF viene inviato al client insieme al contenuto della pagina. Può essere inserito in un campo nascosto, in un header della richiesta o in un cookie, a seconda della strategia adottata.
  3. Invio: quando l’utente invia un modulo o effettua una richiesta di modifica, il token CSRF è inviato al server insieme ai dati della richiesta.
  4. Validazione: il server verifica che il token ricevuto corrisponda a quello previsto per la sessione o per il contesto. Se la verifica è positiva, la richiesta viene accettata; altrimenti viene rifiutata con un errore di sicurezza.
  5. Rotazione: per aumentare la sicurezza, i token CSRF possono essere ruotati periodicamente o dopo ogni utilizzo. Questa rotazione riduce la possibilità che un token venga riutilizzato da un attaccante.

Una pratica comune è associare il token CSRF al “form” contenente la richiesta di stato. In tal modo la verifica avviene direttamente sul server al ricevimento del modulo, riducendo la superficie di attacco. È cruciale che il token CSRF non sia accessibile a script non affidabili o provenire da fonti esterne non verificate, per evitare attacchi di tipo cross-site scripting (XSS) che potrebbero rubare il token.

Token CSRF: due approcci principianti e avanzati

Esistono due approcci principali per gestire CSRF token:

  • Token in modulo nascosto: il token CSRF è incluso come campo nascosto all’interno del modulo HTML. Alla submission, il server verifica che il token corrisponda a quello associato alla sessione corrente.
  • Token in cookie e header: il token CSRF è memorizzato in un cookie e inviato anche in un header della richiesta. Il server conferma che i due elementi coincidano. Questa strategia è utile in scenari SPA (Single Page Application) o in architetture decouple, ma richiede attenzione all’uso di cookie HttpOnly e SameSite.

In entrambe le strategie è fondamentale che la pagina non sia in grado di inviare richieste con token nascosti a domini non fidati senza la partecipazione esplicita dell’utente. La robustezza di questa difesa cresce quando si combina con altre pratiche di sicurezza come SameSite dei cookie, Strong User Authentication e controllo di referer header in contesti specifici.

Strategie di implementazione: quali approcci utilizzare per token CSRF

La scelta dell’implementazione dipende dall’architettura dell’applicazione, dal framework utilizzato e dal tipo di client che interagisce con l’API. Ecco le strategie più comuni:

Token CSRF in hidden field per form tradizionali

Per un’applicazione server-rendered tradizionale, l’approccio con token inserito in un campo hidden è semplice ed efficace. Il flusso tipico è:

  • Il server genera un CSRF token e lo incorpora nel render del modulo.
  • Alla submission, la richiesta include il token nascosto insieme agli altri dati del modulo.
  • Il server verifica la corrispondenza tra token inviato e token associato alla sessione.

Vantaggi: semplicità di implementazione, compatibilità con browser traditional, tracciamento accurato per ogni modulo. Limiti: meno flessibilità in scenari SPA e potenziale esposizione del token in log di richieste se non gestito correttamente.

Token CSRF via cookie e header in architetture SPA

In SPA o API-first, una combinazione cookie + header può offrire una protezione efficace senza dover iniettare token in ogni componente HTML. Una tecnica comune è la seguente:

  • Il CSRF token viene emesso dal server e salvato in un cookie non HttpOnly (così può essere letto dal client JavaScript) o in una (secure) per contesti di produzione. In alternativa, si può utilizzare un header API per la gestione del token.
  • Ogni richiesta di modifica include il token nel header (ad es. X-CSRF-Token) o in un payload insieme al corpo della richiesta.
  • Il server verifica che il token inviato nell’header o nel corpo corrisponda a quello associato alla sessione. Se la verifica è positiva, la richiesta procede.

Questa strategia è molto utile quando si è di fronte a microservizi, frontend separato e API RESTful. Tuttavia, presenta rischi: i token non HttpOnly potrebbero essere rubati da script malevoli in caso di vulnerabilità XSS. Per mitigare, è consigliabile combinare con robusti controlli XSS, Content Security Policy (CSP) e criteria SameSite sui cookie.

Double submit cookie e altre varianti

La tecnica known as double submit cookie prevede di inviare lo stesso token sia come cookie sia come parametro della richiesta (in header o body). Poiché i cookie vengono automaticamente inviati dal browser, ma i token presenti in header/body non, l’abbinamento mira a verificare che entrambe le voci coincidano. Se coincidono, la richiesta è considerata legittima. Questa approccio non richiede la gestione di token lato server oltre la verifica della corrispondenza, ma può essere meno efficace in presenza di XSS dato che il token in cookie potrebbe essere esposto. Va valutato nel contesto specifico dell’applicazione.

Migliori pratiche di progettazione per la protezione CSRF

Per massimizzare la sicurezza dell’applicazione è utile seguire una serie di best practice associate al token CSRF e alla gestione delle sessioni:

Usare l’attributo SameSite sui cookie

SameSite è una proprietà dei cookie che controlla se i cookie vengono inviati insieme alle richieste cross-site. Le opzioni sono Strict, Lax e None (con Secure). Per proteggere contro CSRF, impostare SameSite su Lax o Strict impedisce che i cookie di sessione vengano inviati in situazioni cross-site non volute, riducendo drasticamente i rischi di CSRF. In molti casi, la combinazione di SameSite=Lax con un CSRF token aggiuntivo fornisce una difesa robusta.

Preferire token unici e ruotati

La rotazione dei CSRF token riduce l’esposizione nel caso in cui un token venga captato. Generare token unici per ogni sessione o per ogni modulo e rinnovarli periodicamente aumenta la resilienza contro l’uso improprio. Evita token troppo longevi che offrano un tetto di tempo per eventuali attacchi.

Limitare l’esposizione dei token

Non esporre CSRF token in location accessibili via JavaScript non affidabile. Se possibile, preferire token associati a form nascosti o a meccanismi di validazione che non richiedano la lettura da parte del client. Questo riduce la superficie di attacco in caso di vulnerabilità XSS.

Confrontare referer e origin solo su casi speciali

Alcune configurazioni controllano gli header Referer o Origin per validare la provenienza della richiesta. Tuttavia, questi header non sono affidabili al 100% (possono essere manomessi o non inviati dai browser). Quindi non sostituiscono il token CSRF ma possono fungere da ulteriore livello di difesa in contesti particolari.

Protezione multi-livello

Un approccio difensivo a strati è preferibile: CSRF token, SameSite, CSP, input sanitization, abbondanza di validazioni lato server e logica di autorizzazione robusta. Un’attenta definizione dei privilegi e dei ruoli riduce l’impatto di eventuali falle nella gestione CSRF.

CSRF e framework moderni: come configurare token CSRF nei principali strumenti

Molti framework moderni offrono implementazioni pronte per la gestione del CSRF token. Una corretta configurazione evita errori comuni durante lo sviluppo. Di seguito alcuni esempi pratici per framework popolari.

Laravel (PHP)

Laravel integra di default la protezione CSRF. Ogni form generato con il Blade templating engine include automaticamente un CSRF token con @csrf. La verifica viene eseguita dal middleware VerifyCsrfToken. Fondamentale è assicurarsi che tutte le richieste POST, PUT, PATCH e DELETE includano il token e che le richieste AJAX includano il token in intestazioni come X-CSRF-TOKEN.

Django (Python)

In Django, il CSRF token è gestito dal middleware csrf.Getting started è semplice: includere {% csrf_token %} all’interno dei template e assicurarsi che le views sensitive siano protette da @csrf_protect o dalla decorazione CsrfViewMiddleware. Per le API REST, si preferisce utilizzare alternative come token-based authentication, ma si può combinare con CSRF token per le chiamate di postback dalle pagine server-rendered.

Express.js (Node.js) con csurf

In Express, la libreria csurf fornisce un middleware di protezione CSRF. Dopo l’impostazione, per le rotte POST, PUT o DELETE si deve includere un token CSRF nel body, nei param, o nell’header. Per le richieste AJAX è comune inviare il token come header X-CSRF-Token. È essenziale che l’applicazione gestisca correttamente la gestione delle sessioni e dei cookie per mantenere una protezione efficace.

Ruby on Rails

Rails ha una protezione CSRF integrata chiamata forgery protection. Il token viene inserito automaticamente nei moduli con l’helper form_for o form_tag, e Rails verifica automaticamente la validità del CSRF token sulle richieste state-changing. Gli sviluppatori devono assicurarsi che i form includano l’ authenticity_token e che l’API sia adeguatamente protetta per le interazioni cross-origin.

Spring (Java)

In Spring Security, la protezione CSRF è abilitata di default per molte configurazioni. Il CSRF token viene reso disponibile tramite la sessione e deve essere inviato con le richieste di stato. Le applicazioni REST possono necessitare di una configurazione specifica per disabilitare la protezione CSRF su endpoint stateless o per utilizzare wild card approvations in scenari di microservizi.

Verifica e test del CSRF protection: come controllare che tutto funzioni

Testare la protezione CSRF è essenziale per garantire che le implementazioni funzionino come previsto. Ecco alcune pratiche utili:

  • Test manuale: provare a inviare richieste state-changing senza token CSRF. Dovrebbero essere respinte dal server.
  • Test automatizzato: includere test di integrazione che simulano flag di token validi/invalidi per assicurare la resilienza del sistema.
  • Test di sicurezza: utilizzare strumenti come OWASP ZAP per rilevare vulnerabilità CSRF, inclusa la possibilità di bypass o token non validati.
  • Test di compatibilità: verificare che le chiamate API da SPA o client mobili includano correttamente il CSRF token in header o body, a seconda della strategia adottata.

La chiave è definire casi di test ripetibili che coprano sia scenari di successo sia scenari di fallimento. Una regola utile è che ogni endpoint sensibile dovrebbe avere una test coverage specifica per CSRF, anche in presenza di altre misure di sicurezza.

Errori comuni da evitare con i token CSRF

Come in ogni pratica di sicurezza, è facile incorrere in errori comuni. Ecco cosa evitare:

  • Non proteggere tutte le rotte che modificano stato: POST, PUT, PATCH, DELETE, e quindi esporre nomi endpoint sensibili senza CSRF.
  • Riutilizzare lo stesso token CSRF per lunghe sessioni senza rotazione; preferire token dinamici quando possibile.
  • Memorizzare CSRF token in modo non sicuro sul client o esporli in log di richieste.
  • Aggiornare l’HTML senza aggiornare anche il token nelle form; questa desync può consentire attacchi se il token non è verificato correttamente.
  • Ignorare l’impatto di XSS: una vulnerabilità XSS può esporre CSRF token se non si combinano misure di sicurezza.

CSRF, XSS e CSP: come costruire una difesa robusta

CSRF e XSS sono minacce distinte ma spesso correlate. Mentre CSRF si basa sull’interazione tra browser autenticato e dominio di fiducia, XSS consente agli aggressori di eseguire script dannosi all’interno della pagina. La protezione CSRF va rafforzata integrando:

  • Content Security Policy (CSP) per limitare le esecuzioni di script non autorizzati.
  • Sanitizzazione dell’input per ridurre la possibilità di XSS e furto di token.
  • HttpOnly sui cookie di sessione per impedire accesso ai token da script lato client.
  • SameSite cookie policy per evitare che i cookie vengano inviati con richieste跨 sito non autorizzate.

La combinazione di CSRF token, CSP e mitigazioni XSS crea una difesa multilivello che rende molto difficile per gli attaccanti riuscire a compromettere l’integrità delle azioni sensibili dell’applicazione.

Conclusioni: perché investire nel token CSRF conviene

Proteggere le applicazioni con un CSRF token efficace non è solo una questione di conformità o di prestigio. È una componente essenziale della fiducia degli utenti e della robustezza operativa. Implementare una strategia ben progettata per CSRF token riduce i rischi di azioni indesiderate, diminuisce la superficie di attacco e migliora la resilienza globale del sistema. Scegliere l’approccio giusto dipende dall’architettura: server-rendered, SPA, API-driven o ibrida. In ogni caso, l’obiettivo è chiaro: garantire che ogni richiesta di stato venga originata dall’applicazione stessa, con token CSRF validi e rotazioni periodiche, e che le misure complementari di sicurezza lavorino insieme per offrire una protezione completa senza degradare l’esperienza utente.

Glossario rapido: termini chiave legati al token CSRF

  • CSRF (Cross-Site Request Forgery): attacco che sfrutta l’autenticazione di un utente per inviare richieste indesiderate a un sito di fiducia.
  • CSRF token: valore unico e imprevedibile associato a una sessione o contesto, usato per validare le richieste di stato.
  • SameSite: attributo dei cookie che controlla l’invio di cookie in contesti cross-site.
  • HttpOnly: attributo che impedisce l’accesso a cookie da script lato client, proteggendo da furto di token tramite XSS.
  • XSS (Cross-Site Scripting): vulnerabilità che consente di eseguire script malevoli in una pagina web.
  • Authenticity token: in Rails, espressione spesso usata per indicare CSRF token integrato.

Studi di caso e scenari pratici

Per illustrare l’importanza del token CSRF, consideriamo alcuni scenari reali:

Scenario 1: trasferimento di fondi in un’app bancaria

Un utente autenticato su un portale bancario effettua un trasferimento. Se non esiste un CSRF token o gli strumenti per validarlo, un sito maligno potrebbe inviare una richiesta di trasferimento a nome dell’utente. L’implementazione corretta di CSRF token nel modulo di trasferimento impedisce tale azione, in quanto la richiesta non contiene il token corretto, nonostante la validissima sessione dell’utente.

Scenario 2: modifica profilo in un social network

Un utente tenta di cambiare la foto del profilo o le impostazioni di privacy. L’uso del CSRF token assicura che tali modifiche siano generate dall’interfaccia ufficiale del sito e non da una pagina esterna che tenta di manipolare la sessione dell’utente.

Scenario 3: API pubbliche e SPA

Un’applicazione SPA autentica con token di accesso utilizza una API REST. L’uso di CSRF token insieme a SameSite e meccanismi di autenticazione robusti può proteggere da attacchi cross-site, anche in presenza di chiamate cross-origin. Il design dell’API deve tenere conto dei rischi specifici e proporre una strategia CSRF adeguata al contesto di autenticazione.

Domande frequenti sul token CSRF

Di seguito alcune risposte sintetiche a domande comuni:

Il CSRF token è obbligatorio?
Per molte applicazioni è una best practice indispensabile, soprattutto su endpoint che modificano lo stato. In contesti API RESTful, altre misure possono coesistere, ma la protezione CSRF resta utile quando si lavora con sessioni avanzate e browser multipli.
Posso disabilitare CSRF token?
In scenari specifici, come servizi completamente stateless o API native a mobile, potrebbe essere opportuno disabilitare, ma solo se si adottano protezioni alternative adeguate (ad es. autenticazione forte, intestazioni personalizzate). Disabilitarlo senza una sostituzione può aumentare i rischi.
Il CSRF token è sufficiente contro gli attacchi XSS?
No. CSRF e XSS sono problemi diversi. Mentre CSRF protegge da richieste forgiate tra domini, XSS consente l’esecuzione di script dannosi all’interno della pagina. Usare CSP, input sanitization e HttpOnly è cruciale.

Conclusione finale

Il token CSRF rappresenta una difesa essenziale per le applicazioni web moderne. Integrare correttamente CSRF token, combinare con SameSite sui cookie, utilizzare CSP e adottare pratiche di mitigazione XSS crea una difesa multi-strato che rende molto difficile agli aggressori prendere il controllo delle operazioni sensibili. Sia che si tratti di un sito monolitico server-rendered, di un’API RESTful o di una SPA, la gestione accurata dei CSRF token è una competenza critica per gli sviluppatori, i responsabili della sicurezza e i professionisti IT. Investire tempo e risorse in una protezione CSRF ben progettata si traduce in maggiore fiducia degli utenti, minor rischio operativo e una posizione migliore nelle pratiche di sicurezza moderne.

Riepilogo pratico

  • Implantare CSRF token per tutte le richieste che modificano stato.
  • Usare token unici, rotanti e associati alla sessione o al modulo.
  • Abilitare e configurare SameSite sui cookie per ridurre i casi cross-site.
  • Combinare CSRF con misure XSS (CSP, sanitizzazione, HttpOnly).
  • Testare regolarmente la protezione CSRF con scenari di attacchi simulati.
CategoriaPrevenzione rischi IT