我了解CSRF令牌保护的目的。
但是,我认为这种保护是无用的,在REST API要求每个动作的标头中都包含身份验证令牌的情况下,我们应该将其删除。
这样,即使Mallory伪造了指向Alice的恶意HTML链接,也无法进行攻击。原因是:
爱丽丝将身份验证信息保存在马洛里不知道的标头密钥中。与cookie不同,Alice的浏览器不会自动提交此身份验证令牌。
因此,在这种情况下,我想就这个问题发表您的观点:我们可以从这种API设计中删除CSRF令牌保护吗?
是的,在使用承载方案身份验证时,您不需要CSRF保护,因为浏览器不会自动将Authorization标头添加到请求中。
您确实需要针对Cookie,基本,Windows,摘要和客户端证书身份验证方案的CSRF保护,因为它们是由浏览器自动添加的。
另请参阅Dominick Baier关于隐式与显式认证的文章:http : //leastprivilege.com/2015/04/01/implicit-vs-explicit-authentication-in-browser-based-applications/
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句