è un cookie HttpOnly e Secure sufficiente a prevenire CSRF in api di riposo?

4

Ho creato una API RESTful usando spring. Sto trasmettendo una chiave segreta come HttpOnly & Cookie sicuro con risposta all'accesso. Dopo l'accesso, ogni richiesta di resto controllerà con quel cookie e lo aggiornerà ogni volta.

È possibile che il mio sito Web sia vulnerabile a CSRF? Sto usando la molla MVC & Apache 2.4

    
posta Paresh Dudhat 23.12.2014 - 07:24
fonte

1 risposta

1

Prima di tutto, CSRF e XSRF refferano entrambi su Cross Site Request Forgery.

In secondo luogo, a meno che non si inserisca un token anti-CSRF in un cookie, dovrebbe essere impostato, se possibile, l'attributo HttpOnly.

Ci sono situazioni in cui non puoi impostare l'attributo HttpOnly, un esempio è quando usi il codice javascript che richiede di essere in grado di leggere il valore del cookie (AngularJS).

Se servi la tua API REST su HTTPS, deve essere impostato anche l'attributo Sicuro sul cookie anti-CSRF.

Questo URL spiega come utilizzare e configurare i token anti-CSRF nel framework MVC di Spring.

Questo URL spiega come usare anti- Token CSRF in PHP senza utilizzare un framework PHP.

Ci sono situazioni in cui un utente malintenzionato può rubare i cookie HttpOnly:

  1. Il metodo HTTP TRACE è abilitato
  2. Apache obsoleto ( CVE-2012-0053 ) (& lt ; v2.2.22)

Se queste due condizioni non sono soddisfatte, sulla base della tua descrizione, direi che il tuo codice è sufficientemente protetto contro gli attacchi CSRF, soprattutto dal momento che usi token anti-CSRF basati su richiesta (conosco banche che non lo fanno nemmeno) . Buon lavoro! :)

Tuttavia, non provare a reinventare la ruota. Personalmente, proverei a implementare una protezione anti CSRF adeguata utilizzando il framework MVE Spring.

    
risposta data 23.12.2014 - 07:52
fonte

Leggi altre domande sui tag