Cross-Site Request Forgery (CSRF) is een beveiligingsrisico waarbij een aanvaller een ingelogde gebruiker ongemerkt opdrachten laat uitvoeren op een website waar die gebruiker is aangemeld. De aanval misbruikt het vertrouwen dat een website heeft in de browser van de gebruiker. Denk aan een medewerker die via een onschuldig lijkende link in een e-mail zonder het te weten bedrijfsgegevens wijzigt of betalingen autoriseert. Voor MKB-bedrijven met webshops, klantportalen of interne systemen vormt CSRF een direct risico op dataverlies, ongeautoriseerde transacties en reputatieschade.
Hoe werkt een CSRF-aanval in de praktijk
Een CSRF-aanval speelt zich af in vier stappen. Eerst logt een medewerker of klant in op een beveiligde website, bijvoorbeeld het beheerpaneel van een webshop of een klantportaal. De browser bewaart een sessiecookie om de gebruiker ingelogd te houden. Vervolgens opent diezelfde gebruiker in een ander tabblad een kwaadaardige website of klikt op een geprepareerde link in een e-mail. Die externe pagina bevat verborgen code die automatisch een verzoek stuurt naar de website waar de gebruiker nog is ingelogd. Omdat de browser het sessiecookie automatisch meestuurt, accepteert de website het verzoek als legitiem. Zo kan een aanvaller zonder wachtwoord producten wijzigen, bestellingen plaatsen of gebruikersrechten aanpassen. De gebruiker merkt vaak niets, omdat de actie in de achtergrond plaatsvindt.
Waarom CSRF-bescherming nu essentieel is voor webapplicaties
CSRF bestaat al sinds de vroege jaren 2000, maar blijft actueel omdat veel websites nog steeds onvoldoende beschermd zijn. Moderne webapplicaties werken steeds vaker met API's en externe integraties, wat het aanvalsoppervlak vergroot. In Nederland verplicht de Algemene Verordening Gegevensbescherming (AVG) bedrijven om passende technische maatregelen te treffen tegen ongeautoriseerde verwerking van persoonsgegevens. Een succesvolle CSRF-aanval kan leiden tot een datalek met meldplicht bij de Autoriteit Persoonsgegevens. Daarnaast eist de European Accessibility Act dat websites veilig en betrouwbaar zijn. Voor MKB-bedrijven betekent dit dat CSRF-bescherming geen nice-to-have is, maar een compliance-vereiste.
Wat CSRF-bescherming oplevert voor jouw website of webshop
Effectieve CSRF-bescherming voorkomt dat aanvallers misbruik maken van ingelogde sessies. Dit beschermt niet alleen klantgegevens, maar ook bedrijfskritische functies zoals voorraad- en prijsbeheer. Voor een webshop met 500 producten kan één ongeautoriseerde prijswijziging leiden tot duizenden euro's omzetverlies voordat je het opmerkt. Bij een professioneel gebouwde webshop worden CSRF-tokens standaard ingebouwd in formulieren en API-calls. Deze tokens zijn uniek per sessie en verifiëren dat elk verzoek echt van de gebruiker komt. Daarnaast voorkomt goede beveiliging dat je als bedrijf aansprakelijk wordt gesteld voor schade door een aanval. In combinatie met andere maatregelen zoals Content Security Policy en XSS-bescherming bouw je een robuuste verdedigingslinie op.