Cookie認証を使用するSSR SPAでCSRFは可能ですか？

ユーザーが自分のアカウントを削除したい場合、ボタンを押すことができます。これにより、Authorizationヘッダーのみでリクエストを認証するリクエストがAPIに送信されます。

最終的には、何らかの方法で認証する必要があるアクションを実行するリクエストを送信します。また、認証にAuthorizationヘッダーを使用しているため、HTTP Basic Authまたは[〜＃〜] ntlm [〜＃〜]を使用していない限り、CSRFを何らかの形で防止します。これらの認証トークンは、Cookieと同様に、各リクエストで送信されます。

つまり、認証にCookieを使用していても、CSRF攻撃はWebページからデータをこすり落とすことができないため、機密情報を返すことはできません。アクションをトリガーしない限り、データは重要ではありません。

CSRFに対して脆弱であると思われる状況があります。

1. サーバーがCookieまたはトークンのいずれかを受け入れる場合はどうなりますか？

->私は最近同じに遭遇しました。アプリケーションにはCookieまたは認証トークンが必要です。 Cookieは常に送信されるため、ユーザーは認証されたものと見なされ、リクエストが処理されて、アプリケーションが任意のドメインから認証トークンを送信できると想定して、CSRFに対して再び脆弱になります。

2. アプリケーションがクロスドメインで読み取ることができる認証トークンをリークした場合はどうなりますか？

->クロスドメインで読み取ることができる定義済みのエンドポイントからトークンをフェッチするアプリをいくつか見ました。 JSONP、CORS、crossdomain.xml、JSONハイジャックなどの可能性があります。これもまたCSRFにつながります。

認証にCookieを使用しても

それは常に脆弱であり、あなたのケースではAPIリクエストである最終リクエストで遊ぶ必要があるだけです。

だから私の質問は、この場合はいかなる種類のCSRF保護も実装しないことは問題ないのですか？それに関してセキュリティ上の問題があるのをとても恐れています

実際のところ、そうです。また、APIにリクエストを送信してAccess-Control-Allow-Credentials: falseを返すことができるドメインをホワイトリストに登録してください。私の意見では、これはCSRFに対してかなり安全になります。