CSRF steht für Cross-Site-Request-Forgery und beschreibt eine Attacke, in der man über einen Benutzer ungewollte Aktionen auslöst, um deren Rechte zu missbrauchen. Damit ChurchTools nicht anfällig für CSRF-Attacken ist, haben wir einen CSRF-Token eingeführt. Dieser muss bei allen alten API-Aufrufen als Header mitgeschickt werden. Genauer gesagt betrifft das alle POST-Requests, die den Content-Type application/x-www-form-urlencoded oder multipart/form-data gesetzt haben. Wie das geht, erklären wir dir in diesem Artikel.

Nachdem du dich eingeloggt hast, rufst du die API /api/csrftoken auf, um den Token zu bekommen. Diesen Token sendest du dann bei jedem folgenden API-Request als Header mit. Der Header sieht folgendermaßen aus:

CSRF-Token: $MEIN_TOKEN