CSRF

CSRF ifadesinin açılımı Cross-Site Request Forgery, yani Türkçesiyle Siteler Arası İstek Sahteciliğidir. Bu, bir saldırganın, kullanıcının o an oturum açmış olduğu (login olduğu) güvenilir bir web sitesi üzerinde, kullanıcının bilgisi ve rızası dışında işlem yapmasıdır.

Cross-Site Request ForgerySiteler Arası İstek Sahteciliği

YazarKaan K.

Yayınlanma09 Nisan 2026

Son Güncelleme15 Nisan 2026

Paylaş

Bu teknik terimi paylaş

Bu sözlük kaydını ekip arkadaşınıza, notlarınıza veya sosyal medya hesabınıza kolayca aktarın.

X LinkedIn WhatsApp

Google Kaynak Tercihi

Hata Gider’i Google’da tercih edilen kaynak olarak ekleyin

Kaynak olarak ekle+

Teknik Sözlük

Ayrıntılı Açıklama

CSRF saldırıları, web sitelerinin tarayıcı kimlik doğrulamasına (genellikle çerezlere - cookies) olan güvenini kötüye kullanır. Tarayıcınız, bir siteye giriş yaptığınızda sizi tanımak için bir "oturum çerezi" saklar. Siz o sitede aktifken başka bir sekmeye geçseniz bile, tarayıcınız her istekte o çerezi otomatik olarak gönderir. Saldırı Nasıl Gerçekleşir? Oturum: Siz banka hesabınıza giriş yaparsınız ve oturumu kapatmadan başka bir sekme açarsınız. Tuzak: Saldırganın hazırladığı kötü amaçlı bir web sitesine veya bir e-postadaki linke tıklarsınız. İstek: Bu tuzak site, arka planda sizin tarayıcınıza bankanızın sitesine gizli bir istek göndermesini söyler (Örn: "Parayı şu hesaba gönder"). Güven: Bankanızın sunucusu, tarayıcınız tarafından gönderilen "geçerli oturum çerezini" görür ve bu isteğin gerçekten sizin tarafınızdan yapıldığını sanarak işlemi onaylar. CSRF Hangi Alanları Tehdit Eder? CSRF, sadece bankacılık işlemleriyle sınırlı değildir. Oturum gerektiren her türlü web uygulamasında büyük riskler oluşturabilir: E-ticaret ve Finans: Kullanıcının rızası olmadan para transferi yapmak veya alışveriş sepetini onaylamak. Sosyal Medya: Kullanıcının haberi olmadan durum paylaşmak, birini takip etmek veya mesaj göndermek. Hesap Yönetimi: Kullanıcının e-posta adresini veya şifresini değiştirerek hesabı tamamen ele geçirmek. İdari Paneller (Admin Panels): Bir web sitesinin yöneticisini bir bağlantıya tıklatıp, siteye yeni bir yönetici kullanıcı eklemek veya içerikleri silmek. Nasıl Korunulur? Web geliştiricileri bu saldırıyı önlemek için çeşitli yöntemler kullanır: Anti-CSRF Token: En yaygın yöntemdir. Her form için sunucu tarafından oluşturulan, tahmin edilmesi imkansız, tek kullanımlık bir kod (token) üretilir. Saldırgan bu kodu bilmediği için sahte isteği oluşturamaz. SameSite Cookie Niteliği: Çerezlerin sadece oluşturuldukları site üzerinden gönderilmesini, dış sitelerden tetiklenen isteklerde çerezin gönderilmemesini sağlar. Kullanıcı Etkileşimi: Kritik işlemlerden (para gönderme, şifre değiştirme) önce tekrar şifre, 2FA kodu veya CAPTCHA istemek.

Teknik Bağlam

Kullanım Alanları

Siber Saldırılar

Bağlantılı Kavramlar

İlgili Konular

WebİnternetSiber GüvenlikSaldırı

Hata Gider İçeriklerinde

Bu terimin geçtiği hata kodları

7 kayıt

CSRF Token Missingİnstagram

Instagram CSRF Token Missing Hatası ve Çözümü

CSRF Token Missing veya Incorrect hatası, Instagram'ın web sürümünü kullanırken tarayıcı ile sunucu arasındaki güvenlik anahtarının uyuşmaması sonucunda meydana gelir. Bu hata, Cross-Site Request Forgery saldırılarını önlemek için kullanılan bir güvenlik önlemidir. Web tarayıcısının çerezleri doğru şekilde işleyememesi veya eski bir oturum bilgisinin kalması bu sorunun temel kaynağıdır. Kullanıcının siteye giriş yapmasını veya herhangi bir form göndermesini imkansız kılar.

Hata kaydını aç →