Quindi ho sviluppato un'applicazione web, che ha anche un'API.
L'API supporta sia le richieste GET che POST. L'API è completamente senza stato, significa che nulla viene memorizzato o modificato in un database / file quando lo si utilizza. L'API (attualmente!) Necessita di un cookie di autenticazione da utilizzare.
Questo sistema ha problemi CSRF? Sono abbastanza sicuro che non lo faccia (visto che l'uso dell'API non cambia lo stato lato server), ma volevo assicurarmi ..
Con CSRF l'attaccante è in grado di controllare una richiesta inviata a un altro sito. Ma l'attaccante non è in grado di leggere la risposta. Poiché la tua API è puramente informativa e non causa alcuna modifica al server, la richiesta cross-site è ancora possibile ma non causerà problemi permanenti.
Tuttavia, a seconda delle capacità dell'API, potrebbe ancora essere possibile che l'autore dell'attacco sia in grado di attivare un utilizzo elevato delle risorse sul server utilizzando parametri imprevisti per la richiesta. Ciò potrebbe comportare una negazione del servizio per gli utenti appropriati dell'API. Quindi potrebbe valere la pena di rilevare e bloccare le richieste CSRF.
Inoltre, anche se CSRF non è possibile altri attacchi come il rebinding DNS o Cross Site Scripting potrebbero essere ancora possibili. Contrariamente a CSRF, questi attacchi hanno anche accesso ai dati di risposta.
Leggi altre domande sui tag web-application csrf