搜索
搜索

带有身份验证的REST API中的CSRF令牌

Zag zag.. 发表于 Dev
20
锯锯..

我了解CSRF令牌保护的目的

但是,我认为这种保护是无用的,在REST API要求每个动作的标头中都包含身份验证令牌的情况下,我们应该将其删除

这样,即使Mallory伪造了指向Alice的恶意HTML链接,也无法进行攻击。原因是:

爱丽丝将身份验证信息保存在马洛里不知道的标头密钥中。与cookie不同,Alice的浏览器不会自动提交此身份验证令牌。

因此,在这种情况下,我想就这个问题发表您的观点:我们可以从这种API设计中删除CSRF令牌保护吗?

影碟

是的,在使用承载方案身份验证时,您不需要CSRF保护,因为浏览器不会自动将Authorization标头添加到请求中。

您确实需要针对Cookie,基本,Windows,摘要和客户端证书身份验证方案的CSRF保护,因为它们是由浏览器自动添加的。

另请参阅Dominick Baier关于隐式与显式认证的文章:http : //leastprivilege.com/2015/04/01/implicit-vs-explicit-authentication-in-browser-based-applications/

本文收集自互联网,转载请注明来源。

如有侵权,请联系[email protected] 删除。

编辑于
0

我来说两句

0条评论
登录后参与评论

相关文章

来自分类Dev

带有身份验证令牌的休息后通话

来自分类Dev

带有身份验证令牌的httr POST请求

来自分类Dev

带有身份验证/ node.js的IBM Cloud Functions Calling API

来自分类Dev

带有身份验证/ node.js的IBM Cloud Functions Calling API

来自分类Dev

如何从Android中的WebView发出带有身份验证信息的HTTP请求?

来自分类Dev

如何在Bugzilla 4中启用带有身份验证的SMTP

来自分类Dev

Cakephp中带有身份验证的奇怪异常

来自分类Dev

在 django 中遗漏了一些带有身份验证的东西?

来自分类Dev

当使用ASP.NET Core Web API中没有身份的cookie身份验证时,如何在登录时刷新CSRF令牌

来自分类Dev

带有身份验证令牌的提琴手multipart / form-data asp.net Web API 2

来自分类Dev

带有身份验证令牌的Fiddler multipart / form-data asp.net Web API 2

来自分类Dev

带有SAML的REST API身份验证

来自分类Dev

没有 CSRF 令牌的身份验证

来自分类Dev

基于令牌的REST API身份验证

来自分类Dev

Firebase Web API的所有身份验证/错误列表

来自分类Dev

带有REST API身份验证的WebRTC TURN服务器

来自分类Dev

带有Java配置的Rest API的Spring Security HTTP基本身份验证

来自分类Dev

带有QueryParamAuth身份验证器的REST Api-Yii2

来自分类Dev

带有QueryParamAuth身份验证器的REST Api-Yii2

来自分类Dev

使用带有响应密钥和校验和的 REST API POST 身份验证

来自分类Dev

在Android中没有身份验证的电子邮件

来自分类Dev

Laravel单元测试从具有身份验证的测试中调用路由

来自分类Dev

openfire服务器在亚马逊云服务器中没有身份验证?

来自分类Dev

带有Bearer令牌的AWS Cognito身份验证

来自分类Dev

带有令牌和签名的角度身份验证

来自分类Dev

带有节点的SendPulse API的身份验证凭据

来自分类Dev

带有Powershell的OVH API身份验证

来自分类Dev

带有节点的SendPulse API的身份验证凭据

来自分类Dev

具有相互身份验证的 AWS 安全 REST API

Related 相关文章

  1. 1

    带有身份验证令牌的休息后通话

  2. 2

    带有身份验证令牌的httr POST请求

  3. 3

    带有身份验证/ node.js的IBM Cloud Functions Calling API

  4. 4

    带有身份验证/ node.js的IBM Cloud Functions Calling API

  5. 5

    如何从Android中的WebView发出带有身份验证信息的HTTP请求?

  6. 6

    如何在Bugzilla 4中启用带有身份验证的SMTP

  7. 7

    Cakephp中带有身份验证的奇怪异常

  8. 8

    在 django 中遗漏了一些带有身份验证的东西?

  9. 9

    当使用ASP.NET Core Web API中没有身份的cookie身份验证时,如何在登录时刷新CSRF令牌

  10. 10

    带有身份验证令牌的提琴手multipart / form-data asp.net Web API 2

  11. 11

    带有身份验证令牌的Fiddler multipart / form-data asp.net Web API 2

  12. 12

    带有SAML的REST API身份验证

  13. 13

    没有 CSRF 令牌的身份验证

  14. 14

    基于令牌的REST API身份验证

  15. 15

    Firebase Web API的所有身份验证/错误列表

  16. 16

    带有REST API身份验证的WebRTC TURN服务器

  17. 17

    带有Java配置的Rest API的Spring Security HTTP基本身份验证

  18. 18

    带有QueryParamAuth身份验证器的REST Api-Yii2

  19. 19

    带有QueryParamAuth身份验证器的REST Api-Yii2

  20. 20

    使用带有响应密钥和校验和的 REST API POST 身份验证

  21. 21

    在Android中没有身份验证的电子邮件

  22. 22

    Laravel单元测试从具有身份验证的测试中调用路由

  23. 23

    openfire服务器在亚马逊云服务器中没有身份验证?

  24. 24

    带有Bearer令牌的AWS Cognito身份验证

  25. 25

    带有令牌和签名的角度身份验证

  26. 26

    带有节点的SendPulse API的身份验证凭据

  27. 27

    带有Powershell的OVH API身份验证

  28. 28

    带有节点的SendPulse API的身份验证凭据

  29. 29

    具有相互身份验证的 AWS 安全 REST API

热门标签

归档