Il token anti-contraffazione ha senso se le richieste di origine incrociata non sono supportate?

0

Se il mio sito risponde solo a richieste provenienti dal proprio dominio, ha senso implementare token CSRF sulle mie richieste?

Credo che sia il Cross-Site in CSRF a indurmi a porre questa domanda.
Se le richieste cross-site vengono semplicemente ignorate, il token CSRF Anti-Frogery aggiunge alcun valore?

    
posta Fa773N M0nK 01.08.2017 - 11:00
fonte

1 risposta

1

Il messaggio di richiesta di cross-site è per definizione una richiesta cross-site. Se le richieste cross-site non vengono accettate dalla tua applicazione (cioè tutto nello stesso sito), ovviamente CSRF non è un problema. Ma assicurati di controllare correttamente se questa richiesta è in realtà una richiesta per lo stesso sito. Ciò significa in particolare che non devi consentire le intestazioni di Referer vuote perché queste possono essere create da richieste cross-site e che non dovresti controllare l'intestazione di Referer con un'espressione regolare eccessivamente permissiva.

    
risposta data 01.08.2017 - 11:42
fonte

Leggi altre domande sui tag