Sfruttare la richiesta PUT CSRF

1

Se l'applicazione utilizza la comunicazione RESTful, è necessario avere una protezione CSRF per le richieste PUT e DELETE? Per quanto ne so non è possibile attivare una richiesta PUT utilizzando JavaScript e quindi vorrei sapere se c'è uno sfruttamento possibile con CSRF PUT ..

    
posta Ron 21.11.2015 - 10:44
fonte

1 risposta

3

È possibile eseguire PUT e DELETE utilizzando Javascript con XMLHttpRequest. Ma quando si usano questi metodi per una richiesta di verifica incrociata, verrà effettuata una richiesta di verifica preliminare per verificare se il server è disposto ad accettare questo PUT / DELETE di origine incrociata. A meno che il server non consenta esplicitamente questa richiesta, il PUT / DELETE effettivo non verrà eseguito. Per ulteriori informazioni su CORS e le richieste di verifica preliminare, vedi link .

Si noti che nei browser (più vecchi) che non supportano CORS XMLHttpRequest è limitato dalla stessa politica di origine. Ciò significa che il browser non tenterà nemmeno di inviare una richiesta di origine incrociata in questo modo e quindi non è possibile alcuna CSRF.

In sintesi: a meno che il tuo server non sia configurato per accettare richieste di origine incrociata, CSRF con PUT o DELETE non è possibile.

    
risposta data 21.11.2015 - 11:07
fonte

Leggi altre domande sui tag