web-dev-qa-db-ja.com

RESTfulサービスのCSRF防止

今日の州環境のCSRFに対する信頼できる保護が存在しないと主張した場合、私は正しいのですか? CSRF攻撃から保護する必要があるRESTfulサービス(RESTEasyでビルド)があります。私はstatless CSRF防止をググっていましたが、私が見つけたのは this の記事だけで、二重送信についてです。この記事のコメントによると、このアプローチは安全な対策ではありません。

では、この攻撃に対して他に信頼できる対策はありますか?

8
My-Name-Is

認証に関しては、RESTfulサービスは「ステートレス」です。

認証は回避できない状態であるため、RESTfulな設計で許可されています。 RESTfulサービスでは、この状態はしばしば認証トークンとして、またはOAuthの場合は認証ベアラートークンとして実装されます。このトークンは攻撃者には知られていないため、適切な CSRF同期トークン です。

結局のところ、攻撃者が認証トークンを知っていれば、APIにアクセスするためにCSRFは必要ありませんが、そうすることができました。

12
rook