CSRF steht für Cross-Site-Request-Forgery und beschreibt eine Attacke, in der man über einen Benutzer ungewollte Aktionen auslöst, um deren Rechte zu missbrauchen.

Damit ChurchTools nicht anfällig für CSRF-Attacken ist, haben wir einen CSRF-Token eingeführt. Dieser muss bei allen alten Api-Aufrufen als Header mitgeschickt werden. Genauer gesagt betrifft es alle POST-Requests, die den Content-Type application/x-www-form-urlencoded oder multipart/form-data gesetzt haben.

Um den Token zu bekommen, ruft man, nachdem man eingeloggt ist die Api /api/csrftoken auf. Den Token, den man dadurch bekommt sendet man jetzt bei jedem folgenden Api-Request als Header mit. Der Header sieht folgendermaßen aus:

CSRF-Token: $MEIN_TOKEN

Aktuell lässt sich die Überprüfung des Tokens noch in den System-Einstellungen deaktivieren. Wir empfehlen aber, das nicht zu tun, da es sich hierbei um ein Sicherheitsrisiko handelt. Diese Option wird in einer zukünftigen Version entfallen und die Überprüfung des CSRF-Token wird immer aktiv sein.