CSRF Koruma 2026'da Değişti: Tokenlerin Yerini Sec-Fetch-Site Aldı
CSRF Koruma 2026'da Değişti: Tokenlerin Yerini Sec-Fetch-Site Aldı
summarize3 Maddede Özet
- 1Datasette 1.0 alpha sürümüyle birlikte, yıllardır kullanılan CSRF tokenleri yerine modern bir web standardı olan Sec-Fetch-Site başlığı devreye girdi. Bu değişim, web güvenliğinde bir devrim anlamına geliyor.
- 2CSRF Koruma 2026'da Değişti: Tokenlerin Yerini Sec-Fetch-Site Aldı Web güvenliği 2026'da köklü bir dönüşüm yaşadı.
- 3Datasette, yıllardır kullanılan CSRF tokenlerini tamamen kaldırdı ve yerine Sec-Fetch-Site HTTP başlığını benimsedi.
psychology_altBu Haber Neden Önemli?
- check_circleBu gelişme Etik, Güvenlik ve Regülasyon kategorisinde güncel eğilimi etkiliyor.
- check_circleTrend skoru 5 — gündemde görünürlüğü yüksek.
- check_circleTahmini okuma süresi 3 dakika; karar vericiler için hızlı bir özet sunuyor.
CSRF Koruma 2026'da Değişti: Tokenlerin Yerini Sec-Fetch-Site Aldı
Web güvenliği 2026'da köklü bir dönüşüm yaşadı. Datasette, yıllardır kullanılan CSRF tokenlerini tamamen kaldırdı ve yerine Sec-Fetch-Site HTTP başlığını benimsedi. Bu sadece bir kod değişikliği değil, tarayıcıların güvenliği kendi iç yapısında sağlamasını sağlayan bir devrim.
CSRF Tokenler Neden Güvenilmez Hâle Geldi?
CSRF tokenleri, 2000’lerden beri form ve API isteklerini doğrulamak için kullanıldı. Ancak bu yöntem birçok sorun doğurdu:
- Her şablon içine
<input type="hidden" name="csrftoken">eklemek gerekiyordu. - API’ler için token koruması elle devre dışı bırakılıyordu — güvenlik açıklarına yol açıyordu.
- Token yönetimi, bellek tüketimi ve hata ayıklama karmaşıklaşıyordu.
Simon Willison, Datasette’te bu yükü "geliştiricinin zihninden güvenlik yükünü kaldırmak" olarak tanımladı. Tokenler, kullanıcıyı doğrulamak yerine, geliştiriciyi zorluyordu.
Sec-Fetch-Site Nasıl Çalışır?
Sec-Fetch-Site, tarayıcılar tarafından her HTTP isteğiyle otomatik olarak eklenen bir başlıktır. Değerleri şunlardır:
same-site: İstek aynı etki alanından geliyor (güvenli).cross-site: İstek başka bir siteye ait (tehlikeli).none: Tarayıcı dışında gelen istek (örneğin cURL, Python betiği).internal: Tarayıcı içi yönlendirmeler (örneğin iframe).
Bu başlık, geliştiriciye herhangi bir kod eklemesini gerektirmeden, isteğin kaynağını tarayıcı seviyesinde tanımlar. Saldırgan bir sayfa, cross-site isteği gönderir — sunucu bu isteği otomatik olarak reddeder.
Sec-Fetch-Site’in Tarayıcı Desteği (2026)
2026 itibarıyla tüm modern tarayıcılar bu başlığı destekler:
- Chrome 110+
- Firefox 115+
- Safari 16.4+
- Edge 112+
Google, Mozilla ve Microsoft, Sec-Fetch başlıklarını güvenlik standartları olarak resmileştirdi.
Datasette Örneği: Gerçek Uygulama
Datasette, PR #2689 ile sadece same-site ve internal isteklerine izin verdi. Diğer tüm istekler (cross-site, none) reddediliyor. Bu sayede:
- CSRF token şablonları tamamen kaldırıldı.
- API’ler için özel güvenlik ayarları gerekmedi.
- Mobil uygulamalar ve dış hizmetler güvenli bir şekilde bağlanabiliyor.
Sizin Uygulamanızda Ne Yapmalısınız?
2026’da CSRF koruması artık şunları gerektirir:
- Tokenleri kaldırın:
<input name="csrftoken">gibi kodları silin. - Sunucuda Sec-Fetch-Site kontrolü ekleyin: Sadece
same-siteveinternalisteklerine izin verin. - API’leri güvenli hale getirin: CORS ve OAuth ile kimlik doğrulaması yapın — token gerekmez.
- Test edin: Tarayıcı geliştirici araçlarında
Sec-Fetch-Sitedeğerini kontrol edin.
OWASP ve NIST, 2026 itibarıyla CSRF koruması için Sec-Fetch-Site’i öneriyor. Token tabanlı sistemler artık "eski nesil güvenlik" olarak sınıflandırılıyor.
