L'uso dei token CSRF come meccanismo di difesa blocca tutte le richieste di origine incrociata?

1

Sto cercando di capire come si possano prevenire gli attacchi CSRF. Da ciò che ho letto e compreso online, mi sembra che i token CSRF o l'uso dire l'intestazione Origin per la prevenzione CSRF blocchi fondamentalmente tutte le richieste di origine incrociata (in particolare possono essere implementate solo per quelle richieste che cambiano stato come POST)

Questo non significherebbe che anche le legittime richieste di cross-origine sarebbero bloccate?

Volevo solo sapere se quello che ho capito è corretto.

Grazie!

    
posta Kevin 28.05.2017 - 22:38
fonte

1 risposta

0

Wouldn't this mean that even legitimate cross-origin requests would be blocked?

L'uso di token CSRF e il controllo dell'intestazione Origin o Referer non bloccano semplicemente tutte le richieste cross-site. Significa solo che le richieste che hanno il token CSRF appropriato o che provengono da un'origine accettabile sono consentite dall'applicazione web. Pertanto, può anche essere utilizzato per consentire l'esecuzione controllata di cross-site, se necessario.

    
risposta data 29.05.2017 - 05:55
fonte

Leggi altre domande sui tag