Ho ragione Se rivendico che non esiste alcuna protezione affidabile contro CSRF per un ambiente di Stateles oggi? Ho un servizio RESTful (build con RESTEasy) che deve essere protetto dagli attacchi CSRF. Ho cercato su google per la prevenzione CSRF statless ma quello che ho trovato era solo questo articolo che parla di doppio sottomette. Secondo i commenti su questo articolo, questo approccio non è una contromisura sicura.
Quindi, ci sono altre contromisure affidabili contro questo attacco?
I servizi RESTful sono "stateless", tranne quando si tratta di autenticazione.
L'autenticazione è uno stato che non può essere evitato e quindi è consentito in un progetto RESTful. Nei servizi RESTful, questo stato viene spesso implementato come token di autenticazione o nel caso di OAuth: un token di portante di autenticazione. Questo token dovrebbe essere sconosciuto all'attaccante ed è quindi: un token di sincronizzazione CSRF / a>.
Dopo tutto se l'attaccante conosceva il token di autenticazione, non avrebbe avuto bisogno di CSRF per accedere all'API, ma poteva farlo.
Leggi altre domande sui tag rest appsec attack-prevention csrf web-service