L'utilizzo dell'autorizzazione basata su token rende superflui i controlli CSRF all'accesso?

Naviga le tue risposte
4

Sulla base delle mie conoscenze, evitare l'uso dei cookie come meccanismo di autenticazione impedisce completamente le vulnerabilità di CSRF (ovvero l'autenticazione basata su token in una SPA), quando autenticato.

Questo rende anche non necessari i controlli CSRF sulla pagina di accesso / endpoint dell'API? Per quanto posso vedere, anche se potremmo essere indotti a inviare richieste involontariamente, non ci sarebbe alcun effetto di questo - perché non stiamo usando i cookie per autenticare le richieste successive.

Tuttavia, volevo verificare con la tua saggezza collettiva - possiamo evitarli nella pagina di accesso? E che dire di altre pagine non autenticate come il reset della password?

    
posta James Crowley 26.05.2014 - 13:29
fonte

1 risposta

2

Se tratti una richiesta specialmente perché proviene da un particolare indirizzo IP o include determinati cookie, allora c'è un potenziale per CSRF. Se nessuna informazione specifica della macchina influenza il modo in cui la richiesta viene elaborata, non vi è alcun potenziale per CSRF. Una pagina di reimpostazione della password potrebbe essere soggetta a CSRF se in qualche modo si imposta in via predefinita l'ultimo nome utente utilizzato da quella macchina (cioè basato sui cookie, o peggio, indirizzo IP) e consente di eseguire il ripristino senza specificare il nome utente come parte dell'URL o nei dati POST. (Tuttavia, il danno sarebbe limitato poiché stiamo solo parlando di una richiesta di reimpostazione della password.)

    
risposta data 28.05.2014 - 23:52
fonte

Leggi altre domande sui tag

Rete nascosta che si collega continuamente che non riesco a disconnettere SSH authorized_keys viola il principio di "re-autenticarsi prima del cambio della password"?