"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "csrf-nedir", "hProperties": { "id": "csrf-nedir" } }, "depth": 2, "value": "CSRF nedir?" }, { "data": { "id": "csrf-nasıl-çalışır", "hProperties": { "id": "csrf-nasıl-çalışır" } }, "depth": 2, "value": "CSRF nasıl çalışır?" }, { "data": { "id": "tarayıcının-aynı-köken-politikası", "hProperties": { "id": "tarayıcının-aynı-köken-politikası" } }, "depth": 3, "value": "Tarayıcının Aynı Köken politikası" }, { "data": { "id": "otomatik-çerez-gönderme-mekanizması", "hProperties": { "id": "otomatik-çerez-gönderme-mekanizması" } }, "depth": 3, "value": "Otomatik çerez gönderme mekanizması" }, { "data": { "id": "csrf-saldırı-adımları", "hProperties": { "id": "csrf-saldırı-adımları" } }, "depth": 3, "value": "CSRF saldırı adımları" }, { "data": { "id": "csrf-saldırı-örneği", "hProperties": { "id": "csrf-saldırı-örneği" } }, "depth": 2, "value": "CSRF saldırı örneği" }, { "data": { "id": "csrf-saldırılarını-önlemenin-yaygın-yöntemleri", "hProperties": { "id": "csrf-saldırılarını-önlemenin-yaygın-yöntemleri" } }, "depth": 2, "value": "CSRF saldırılarını önlemenin yaygın yöntemleri" }, { "data": { "id": "csrf-tokenleri-kullanmak", "hProperties": { "id": "csrf-tokenleri-kullanmak" } }, "depth": 3, "value": "CSRF tokenleri kullanmak" }, { "data": { "id": "referer-başlığını-kontrol-etme", "hProperties": { "id": "referer-başlığını-kontrol-etme" } }, "depth": 3, "value": "Referer başlığını kontrol etme" }, { "data": { "id": "samesite-çerez-niteliğini-kullanma", "hProperties": { "id": "samesite-çerez-niteliğini-kullanma" } }, "depth": 3, "value": "SameSite çerez niteliğini kullanma" }, { "data": { "id": "özel-istek-başlıkları-kullanma", "hProperties": { "id": "özel-istek-başlıkları-kullanma" } }, "depth": 3, "value": "Özel istek başlıkları kullanma" }, { "data": { "id": "çift-çerez-doğrulaması", "hProperties": { "id": "çift-çerez-doğrulaması" } }, "depth": 3, "value": "Çift çerez doğrulaması" }, { "data": { "id": "hassas-işlemler-için-yeniden-kimlik-doğrulama-kullanma", "hProperties": { "id": "hassas-işlemler-için-yeniden-kimlik-doğrulama-kullanma" } }, "depth": 3, "value": "Hassas işlemler için yeniden kimlik doğrulama kullanma" }, { "data": { "id": "özet", "hProperties": { "id": "özet" } }, "depth": 2, "value": "Özet" }]; const readingTime = { "minutes": 5, "words": 1514, "text": "5 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", strong: "strong", ul: "ul", ..._provideComponents(), ...props.components }, {LogtoCloudButton} = _components; if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "Web geliştirme üzerinde çalışırken, özellikle çerezlerle, sık sık \"bu ayar CSRF'yi önlemeye yardımcı olur\" gibi ifadeler duyuyoruz. Ancak, birçok kişi \"CSRF\"nin gerçekten ne anlama geldiği konusunda sadece belirsiz bir fikre sahiptir." }), "\n", _jsx(_components.p, { children: "Bugün, yaygın bir web güvenlik açığı olan CSRF (Cross-Site Request Forgery)'yi derinlemesine inceleyeceğiz. Bu, CSRF ile ilgili sorunları daha etkili bir şekilde ele almamıza yardımcı olacak." }), "\n", _jsxs(_components.h2, { id: "csrf-nedir", children: ["CSRF nedir?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#csrf-nedir", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "CSRF (Cross-Site Request Forgery), saldırganların kimliği doğrulanmış kullanıcıları, istenmeyen eylemleri gerçekleştirmeleri için kandırdığı bir tür web saldırısıdır. Basit terimlerle, bu, \"hackerlerin, yetkisiz eylemler gerçekleştirmek için kullanıcı gibi davranmaları\"dır." }), "\n", _jsxs(_components.h2, { id: "csrf-nasıl-çalışır", children: ["CSRF nasıl çalışır?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#csrf-nasıl-çalışır", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "CSRF'yi anlamak için birkaç temel kavramı kavramamız gerekiyor:" }), "\n", _jsxs(_components.h3, { id: "tarayıcının-aynı-köken-politikası", children: ["Tarayıcının Aynı Köken politikası", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#tarayıcının-aynı-köken-politikası", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Aynı köken politikası, bir belgenin veya betiğin bir kökenden diğer kökene kaynaklarla nasıl etkileşime girebileceğini sınırlayan tarayıcıdaki bir güvenlik özelliğidir." }), "\n", _jsxs(_components.p, { children: ["Bir köken, bir protokol (HTTP veya HTTPS gibi), alan adı ve bağlantı noktası numarasından oluşur. Örneğin, ", _jsx(_components.code, { children: "https://example.com:443" }), " bir kökendir, ", _jsx(_components.code, { children: "https://demo.com:80" }), " ise başka bir kökendir."] }), "\n", _jsx(_components.p, { children: "Aynı köken politikası, farklı kökenlerden sayfalar arasında veri erişimini kısıtlar, yani:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsx(_components.li, { children: "Bir kökenin JavaScript'i başka bir kökenin DOM'unu okuyamaz" }), "\n", _jsx(_components.li, { children: "Bir kökenin JavaScript'i başka bir kökenin Çerezini, IndexedDB'sini veya localStorage'unu okuyamaz" }), "\n", _jsx(_components.li, { children: "Bir kökenin JavaScript'i başka bir kökene AJAX istekleri gönderemez (CORS kullanılmadıkça)" }), "\n"] }), "\n", _jsx(_components.p, { children: "Ancak, Web'in açıklığı ve birlikte çalışabilirliğini korumak için (CDN'lerden kaynak yüklemek veya üçüncü taraf API'larına istek göndermek gibi), aynı köken politikası çapraz köken ağ isteklerini sınırlamaz:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsx(_components.li, { children: "Sayfalar herhangi bir kökene GET veya POST istekleri gönderebilir (resim yüklemek veya formlar göndermek gibi)" }), "\n", _jsxs(_components.li, { children: ["Herhangi bir kökenden kaynaklar içe aktarılabilir (", _jsx(_components.code, { children: "\n \n\n" }) }), "\n", _jsxs(_components.p, { children: ["Kullanıcı ", _jsx(_components.code, { children: "https://evil.com" }), " bağlantısına tıkladığında banka hesabından çıkış yapmadan, çünkü zaten ", _jsx(_components.code, { children: "bank.com" }), "a giriş yapmış durumdadır, tarayıcıda geçerli bir ", _jsx(_components.code, { children: "session_id" }), " çerezi bulunmaktadır."] }), "\n", _jsxs(_components.p, { children: ["Kötü niyetli sayfa yüklendikten sonra, gizli formu otomatik olarak gönderir ve ", _jsx(_components.code, { children: "https://bank.com/transfer" }), "e bir transfer isteği gönderir."] }), "\n", _jsxs(_components.p, { children: ["Kullanıcının tarayıcısı bu isteğe otomatik olarak ", _jsx(_components.code, { children: "bank.com" }), " çerezi ekler. ", _jsx(_components.code, { children: "bank.com" }), " sunucusu isteği alır, çerezin geçerli olduğunu doğrular ve bu izinsiz transfer işlemini gerçekleştirir."] }), "\n", _jsxs(_components.h2, { id: "csrf-saldırılarını-önlemenin-yaygın-yöntemleri", children: ["CSRF saldırılarını önlemenin yaygın yöntemleri", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#csrf-saldırılarını-önlemenin-yaygın-yöntemleri", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "İşte birkaç yaygın kullanılan CSRF savunma yöntemi. Her bir metodun prensibini ve CSRF saldırılarını nasıl etkili bir şekilde önlediğini ayrıntılı bir şekilde açıklayacağız:" }), "\n", _jsxs(_components.h3, { id: "csrf-tokenleri-kullanmak", children: ["CSRF tokenleri kullanmak", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#csrf-tokenleri-kullanmak", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "CSRF tokenleri, CSRF saldırılarına karşı savunmanın en yaygın ve etkili yöntemlerinden biridir. İşte nasıl çalıştıkları:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsx(_components.li, { children: "Sunucu her oturum için benzersiz, tahmin edilemeyen bir token oluşturur." }), "\n", _jsx(_components.li, { children: "Bu token, hassas işlemler için tüm formlara gömülür." }), "\n", _jsx(_components.li, { children: "Kullanıcı bir form gönderdiğinde, sunucu tokenin geçerliliğini doğrular." }), "\n"] }), "\n", _jsx(_components.p, { children: "CSRF tokeni, kullanıcının oturumuna bağlı benzersiz bir değer olduğundan ve saldırgan bu değeri bilemez veya tahmin edemez (her oturum için farklı olduğundan), kullanıcıyı bir isteği göndermeye kandırsa bile istek, geçerli CSRF tokeni olmadığı için sunucu tarafından reddedilecektir." }), "\n", _jsx(_components.p, { children: "Uygulama örneği:" }), "\n", _jsx(_components.p, { children: "Sunucu tarafında (Node.js ve Express kullanarak):" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-javascript", children: "const express = require('express');\nconst crypto = require('crypto');\nconst app = express();\n\n// CSRF token oluştur\nfunction generateCSRFToken() {\n return crypto.randomBytes(16).toString('hex');\n}\n\n// CSRF koruma ara yazılımı\napp.use((req, res, next) => {\n if (req.method === 'GET') {\n // Her GET isteği için yeni CSRF token oluştur\n req.session.csrfToken = generateCSRFToken();\n } else if (['POST', 'PUT', 'DELETE'].includes(req.method)) {\n // CSRF tokenini kontrol et\n const submittedToken = req.body._csrf || req.headers['x-csrf-token'];\n if (submittedToken !== req.session.csrfToken) {\n return res.status(403).json({ error: 'CSRF token doğrulaması başarısız' });\n }\n }\n next();\n});\n" }) }), "\n", _jsx(_components.p, { children: "Ön uç JavaScript kodunda:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-javascript", children: "// CSRF token ile istek gönder\nasync function sendRequestWithCSRFToken(url, method, data) {\n const csrfToken = document.querySelector('meta[name=\"csrf-token\"]').getAttribute('content');\n const response = await fetch(url, {\n method: method,\n headers: {\n 'Content-Type': 'application/json',\n 'X-CSRF-Token': csrfToken\n },\n body: JSON.stringify(data)\n });\n return response.json();\n}\n" }) }), "\n", _jsxs(_components.h3, { id: "referer-başlığını-kontrol-etme", children: [_jsx(_components.code, { children: "Referer" }), " başlığını kontrol etme", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#referer-başlığını-kontrol-etme", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: [_jsx(_components.code, { children: "Referer" }), " başlığı, isteği başlatan sayfanın URL'sini içerir. ", _jsx(_components.code, { children: "Referer" }), " başlığını kontrol ederek, sunucu isteğin meşru bir kaynaktan gelip gelmediğini belirleyebilir."] }), "\n", _jsxs(_components.p, { children: ["CSRF saldırıları genellikle farklı alanlardan geldiğinden, ", _jsx(_components.code, { children: "Referer" }), " başlığı saldırganın alan adını gösterecektir. ", _jsx(_components.code, { children: "Referer" }), "'ın beklenen değer olup olmadığını doğrulamaya çalışarak, bilinmeyen kaynaklardan gelen istekler engellenebilir."] }), "\n", _jsxs(_components.p, { children: ["Ancak, bu yöntemin tamamen güvenilir olmadığını belirtmek gerekir, çünkü bazı tarayıcılar ", _jsx(_components.code, { children: "Referer" }), " başlığını göndermeyebilir ve kullanıcılar tarayıcı ayarları veya eklentiler aracılığıyla ", _jsx(_components.code, { children: "Referer" }), " başlığını devre dışı bırakabilir."] }), "\n", _jsx(_components.p, { children: "Uygulama örneği:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-javascript", children: "function checkReferer(req) {\n const referer = req.get('Referer');\n return referer && referer.startsWith('https://yourwebsite.com');\n}\n\napp.use((req, res, next) => {\n if (['POST', 'PUT', 'DELETE'].includes(req.method) && !checkReferer(req)) {\n return res.status(403).json({ error: 'Geçersiz referer' });\n }\n next();\n});\n" }) }), "\n", _jsxs(_components.h3, { id: "samesite-çerez-niteliğini-kullanma", children: [_jsx(_components.code, { children: "SameSite" }), " çerez niteliğini kullanma", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#samesite-çerez-niteliğini-kullanma", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: [_jsx(_components.code, { children: "SameSite" }), ", çerezlerin çapraz site istekleriyle birlikte gönderilip gönderilmeyeceğini kontrol etmek için kullanılan bir çerez niteliğidir. Üç olası değeri vardır:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "Strict" }), ": Çerezler yalnızca aynı site isteklerinde gönderilir."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "Lax" }), ": Çerezler aynı site isteklerinde ve üst düzey gezinmelerde gönderilir."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "None" }), ": Çerezler tüm çapraz site isteklerinde gönderilir (bu, ", _jsx(_components.code, { children: "Secure" }), " niteliğiyle birlikte kullanılmalıdır)."] }), "\n"] }), "\n", _jsxs(_components.p, { children: [_jsx(_components.code, { children: "SameSite" }), " özelliği ", _jsx(_components.code, { children: "Strict" }), " olarak ayarlandığında, üçüncü taraf sitelerin çerez göndermesini tamamen engelleyebilir, böylece CSRF saldırılarını etkili bir şekilde önler.\n", _jsx(_components.code, { children: "SameSite" }), " ", _jsx(_components.code, { children: "Lax" }), " olarak ayarlandığında, hassas işlemleri korurken, dış bağlantılardan bir web sitesine girmek gibi bazı yaygın çapraz site kullanım durumlarına izin verir."] }), "\n", _jsx(_components.p, { children: "Uygulama örneği:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-javascript", children: "res.cookie('session_id', 'abc123', {\n httpOnly: true,\n secure: true,\n sameSite: 'strict'\n});\n" }) }), "\n", _jsxs(_components.h3, { id: "özel-istek-başlıkları-kullanma", children: ["Özel istek başlıkları kullanma", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#özel-istek-başlıkları-kullanma", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "AJAX istekleri için özel istek başlıkları eklenebilir. Aynı köken politikası kısıtlamaları nedeniyle, saldırganlar çapraz köken isteklerinde özel başlıklar ayarlayamaz. Sunucu, bu özel başlığın varlığını kontrol ederek isteğin meşruiyetini doğrulayabilir." }), "\n", _jsx(_components.p, { children: "Uygulama örneği:" }), "\n", _jsx(_components.p, { children: "Ön uçta:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-javascript", children: "fetch('/api/data', {\n method: 'POST',\n headers: {\n 'Content-Type': 'application/json',\n 'X-Requested-With': 'XMLHttpRequest'\n },\n body: JSON.stringify(data)\n});\n" }) }), "\n", _jsx(_components.p, { children: "Sunucu tarafında:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-javascript", children: "app.use((req, res, next) => {\n if (req.xhr || req.headers['x-requested-with'] === 'XMLHttpRequest') {\n // AJAX isteği işleme\n } else {\n // AJAX olmayan isteği işleme\n }\n next();\n});\n" }) }), "\n", _jsxs(_components.h3, { id: "çift-çerez-doğrulaması", children: ["Çift çerez doğrulaması", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#çift-çerez-doğrulaması", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Çift çerez doğrulaması etkili bir CSRF savunma tekniğidir. Temel prensibi, sunucunun rastgele bir token oluşturması, bunu hem çerez olarak ayarlaması hem de sayfaya (genellikle gizli bir form alanı olarak) gömmesidir. Tarayıcı bir istek gönderdiğinde, otomatik olarak çerezi eklerken, sayfanın JavaScript'i isteğe bir parametre olarak token gönderir. Sunucu daha sonra çerezdeki tokenin istekteki parametrelerdeki token ile eşleşip eşleşmediğini doğrular." }), "\n", _jsx(_components.p, { children: "Saldırganlar hedef web sitesinin çerezini çapraz site isteklerine dahil edebilseler de, çerezin değerini okuyamaz veya değiştiremezler, sayfadaki token değerine erişemez veya bunu değiştiremezler. Hem çerezden hem de parametrelerden gelen tokenleri içermesi gereken bir istek yaparak, isteğin çerezi okumak için izne sahip bir kaynaktan geldiğini garanti eder, böylece CSRF saldırılarına karşı etkili bir şekilde savunma sağlar." }), "\n", _jsxs(_components.h3, { id: "hassas-işlemler-için-yeniden-kimlik-doğrulama-kullanma", children: ["Hassas işlemler için yeniden kimlik doğrulama kullanma", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#hassas-işlemler-için-yeniden-kimlik-doğrulama-kullanma", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Özellikle hassas işlemler için (şifre değiştirme veya büyük transferler gibi) kullanıcıların yeniden kimlik doğrulamaları istenebilir.\nBu, kullanıcılara ek bir güvenlik kontrol noktası sağlar. Kullanıcı, başarılı bir şekilde bir CSRF saldırısını başlatsa bile, yeniden kimlik doğrulama adımını geçemez." }), "\n", _jsx(_components.p, { children: "Uygulama önerileri:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsx(_components.li, { children: "Hassas işlemleri gerçekleştirmeden önce, ayrı bir kimlik doğrulama sayfasına yönlendirin." }), "\n", _jsx(_components.li, { children: "Bu sayfada, kullanıcıdan şifrelerini veya diğer kimlik doğrulama bilgilerini girmeleri istenebilir." }), "\n", _jsx(_components.li, { children: "Doğrulama geçtikten sonra, bir kerelik bir token oluşturun ve bu tokeni sonraki hassas işlemlerde kullanın." }), "\n"] }), "\n", _jsxs(_components.h2, { id: "özet", children: ["Özet", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#özet", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Bu derinlemesine tartışma sayesinde, CSRF saldırılarına daha kapsamlı bir bakış açısına sahip olmanızı umuyoruz.\nCSRF'nin nasıl çalıştığını öğrenmenin yanı sıra, çeşitli etkili savunma yöntemlerini de araştırdık. Tüm bu yöntemler, web uygulamalarının güvenliğini etkili bir şekilde artırabilir." }), "\n", _jsx(_components.p, { children: "Umarız bu bilgiler, günlük gelişim çalışmalarınızda CSRF ile ilgili sorunları daha iyi ele almanıza ve daha güvenli web uygulamaları geliştirmenize yardımcı olur." }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }