Soy nuevo en la programación web. Leí un artículo en el que recomendaron usar tokens como un campo oculto en los formularios y hacer coincidir ese token en el extremo del servidor para detectar solicitudes no legítimas. Me pregunto qué diferencia hará, si un atacante usa un iframe para obtener un formulario, esa forma tendrá el identificador del token generado en el servidor y debería ser compatible. Revisé el artículo en owasp.org pero también suena. Críptico para mí.
Si el atacante inserta su formulario en su sitio, estamos hablando de un ataque muy diferente llamado clickjacking . Un token no ayuda contra el clickjacking, necesita diferentes métodos de protección (específicamente el encabezado X-FRAME-OPTIONS o los creadores de marcos de JavaScript).
La falsificación de solicitud entre sitios significa que el atacante crea su propio formulario que apunta a su sitio. Luego, el atacante engaña a la víctima (o al navegador de la víctima) para que envíe el formulario y realice acciones en su nombre.
Un token ayuda contra CSRF, porque el atacante no conoce el token de la víctima y, por lo tanto, no puede preparar una solicitud válida. Sin embargo, hay algunas limitaciones. Si usa protección basada en cookies, entonces un atacante podría establecer su propia cookie con un token conocido. Y las vulnerabilidades de las secuencias de comandos entre sitios generalmente rompen toda la protección CSRF.
Lea otras preguntas en las etiquetas web-application