RESTfulサービスのCSRF防止
今日の州環境のCSRFに対する信頼できる保護が存在しないと主張した場合、私は正しいのですか? CSRF攻撃から保護する必要があるRESTfulサービス(RESTEasyでビルド)があります。私はstatless CSRF防止をググっていましたが、私が見つけたのは this の記事だけで、二重送信についてです。この記事のコメントによると、このアプローチは安全な対策ではありません。
では、この攻撃に対して他に信頼できる対策はありますか?
認証に関しては、RESTfulサービスは「ステートレス」です。
認証は回避できない状態であるため、RESTfulな設計で許可されています。 RESTfulサービスでは、この状態はしばしば認証トークンとして、またはOAuthの場合は認証ベアラートークンとして実装されます。このトークンは攻撃者には知られていないため、適切な CSRF同期トークン です。
結局のところ、攻撃者が認証トークンを知っていれば、APIにアクセスするためにCSRFは必要ありませんが、そうすることができました。