Verificherà le intestazioni di origine e di riferimento per le richieste valide del blocco di protezione CSRF?

Naviga le tue risposte
1

Se il controllo dell'intestazione di origine e di riferimento per è seguito il foglio cheat OWASP CSRF , le richieste valide saranno bloccate (ignorando la parte token del consiglio per questa domanda)? Ho visto alcuni riferimenti al fatto che tali intestazioni non vengono sempre inviate quindi se le richieste sono bloccate se nessuna delle due è presente, allora forse le richieste valide vengono bloccate. Questo è considerato un vero problema?

Modifica aggiuntiva: le richieste che sto cercando di verificare sono solo quelle che modificano lo stato (database) del sito. Non consentirei alle richieste $ _GET di cambiare lo stato. Non applicherei il controllo dell'intestazione alle richieste $ _GET che non cambiano il sito.

    
posta lindon 06.06.2017 - 11:20
fonte

1 risposta

2

Dipende da ciò che consideri richieste valide. Se si prevede che tutte le richieste siano causate dalla navigazione all'interno della propria applicazione Web, funzionerà a meno che non si richieda espressamente che il Referente non venga inviato o se l'utente utilizza una sorta di blocco Referer (estensione del browser o configurazione). Tuttavia, se si considerano valide le richieste che provengono dall'accesso a un segnalibro nel browser o da un collegamento all'interno di una posta, queste causeranno problemi poiché non verrà inviato alcun Referente o Origine.

EDIT: poiché secondo la domanda aggiornata la tua applicazione non si aspetta che le richieste GET cambino stato e quindi non le controlli per i segnalibri CSRF ei collegamenti all'interno di una mail non dovrebbero essere un problema e quindi puoi aspettarti che il Referer e / o Origine da inviare con ogni richiesta di modifica dello stato.

    
risposta data 06.06.2017 - 12:54
fonte

Leggi altre domande sui tag

Non è sicuro che il mio nome utente del personal computer sia noto pubblicamente? Che cosa significa "scope" in CVSS v3?