Se Json Applications sta verificando correttamente il tipo di contenuto e ha crossdomain.xml ben configurato, allora perché usano ancora il token csrf?
Qualcuno potrebbe dirmi, perché usano il token csrf?
AFAIK, non c'è modo di eseguire l'attacco csrf, se entrambe le cose sopra sono configurate correttamente.
Suppongo che per Json Applications intendi un servizio Web (API HTTP) che accetta solo il tipo di contenuto JSON per le richieste in arrivo. Fondamentalmente è corretto che se controlli il tipo di contenuto JSON in tutte le tue richieste CSRF non sarebbe possibile dato che i moduli HTML inviano solo url codificati / dati di form / tipi di contenuto di testo in chiaro e le richieste AJAX sono bloccate dal browser grazie alla stessa politica di origine .
La mia comprensione è che si tratta di una misura di sicurezza aggiuntiva, applicata come un framework automatico che aggiunge la protezione CSRF a tutte le richieste in arrivo, coprendo quindi alcune implementazioni di chiamate API che hanno dimenticato di convalidare il tipo di contenuto come le richieste GET che don ' Accetta qualsiasi contenuto o per consentire l'utilizzo di diversi tipi di contenuto nell'API.
A proposito: il file crossdomain.xml a cui si fa riferimento è specifico per piattaforma Flash e Silverlight. La tecnologia corrispondente nella terminologia HTTP si chiama CORS (cross resource sharing sharing) e bisogna assicurarsi che CORS non sia abilitato dal server in modo che la tua ipotesi sia corretta.
Leggi altre domande sui tag csrf