Previene l'attacco CSRF usando espressioni regolari, archiviazione di sessione e token di autenticazione?

La memorizzazione della sessione del browser non viene automaticamente inviata dal browser quando viene avviata una richiesta di dominio incrociato. Pertanto, mentre si aggiunge manualmente il token di autenticazione, questo agisce come una difesa CSRF a sé stante e non necessita di ulteriore protezione.

Suppongo che ci sia una relazione uno a uno tra il sito Web e l'API Web qui. In caso contrario, esiste la possibilità che un utente della tua API stia effettuando richieste tra domini a un altro consumatore. Per contrastare questo, è necessario legare la sessione utente all'identificatore del sito Web che ha effettuato la richiesta di autenticazione originale e controllarlo per ogni ulteriore richiesta di mitigazione di CSRF.

Sì, hai ancora bisogno di un tipo di implementazione anti-CSRF perché non sei ancora in grado di verificare l'origine della richiesta.

Per rendere un attacco CSRF un po 'più chiaro, dai un'occhiata a questo diagramma:

Un'implementazionedianti-CSRF,usandoPHP,puòesseretrovata qui .