Dipenderà da quale versione del software F5 hai. In passato, ASM funzionava solo iniettando il token nei campi su moduli POST HTML statici e non poteva indirizzare altri tipi di richieste o interazioni guidate da script sul lato client.
Sembra che recentemente la funzione CSRF possa ora iniettare lo script sul lato client per:
-
Applica il token CSRF a GET forme e collegamenti semplici. Questa è una pessima idea: non vuoi perdere i tuoi token CSRF negli URL.
-
Frob il prototipo XMLHttpRequest per iniettare un'intestazione personalizzata con valore fisso X-TS-AJAX-Request: true
per aggirare la protezione CSRF. Questo è praticabile ma le intestazioni personalizzate sono la soluzione del povero uomo, rispetto ai token appropriati; sono stati vulnerabili agli attacchi del caso limite come da Flash in il passato.
Queste funzionalità, come gran parte di ciò che fa ASM, sono utili come soluzione provvisoria / temporanea per quando devi distribuire applicazioni che conosci essere insicure ma non hai la possibilità o il permesso di correggerle correttamente. Ma se puoi, è molto più affidabile affrontare il problema nell'applicazione stessa.