1
我有一個Web API應用程序,併爲它配置SSL。API應用程序如何易受CSRF影響?
我們的認證機制是經由頭部。每個請求都必須包含一對密鑰,我們將根據數據庫驗證它們。我們沒有使用Forms/Basic或Digect認證。
我只是想知道我們是否有考慮到跨站請求僞造(CSRF)問題做什麼?在這種情況下適用嗎?
我想,因爲我們沒有使用餅乾所以它應該是安全的。
A
回答
3
事實上,如果用戶的瀏覽器自動推送某些攻擊者沒有的憑證,強制另一個用戶執行請求只對攻擊者具有優勢。這可以是:
- 權威性的cookie
- HTTP驗證(基本/摘要/ Windows驗證)
- TLS會話ID(以HTTPS)
- 從IP地址或網絡位置隱含授權(例如Intranet站點)
如果你不依賴任何這樣的證書,那麼沒有CSRF攻擊來抵禦。
相關問題
- 1. 特定於域的cookie是否容易受到CSRF的影響?
- 2. 序列不受交易影響?
- 3. Python和Ruby應用程序如何受.NET影響?
- 4. django的CSRF會影響iOS程序嗎?
- 5. 鎖屏如何影響應用程序?
- 6. CLLocationManager可能受其他應用程序影響嗎?
- 7. 的Web應用程序日誌不受影響
- 8. WinForms應用程序UI受Windows UI設置的影響
- 9. 不受ClearType全局設置影響的WinForm應用程序
- 10. 如何建立一個電臺應用程序,而不受瞌睡android影響?
- 11. 如何在Android應用程序購買期間識別受影響的產品?
- 12. 受Thread.yield()影響的線程?
- 13. TFS如何使用「影響」和「受影響者」鏈接類型?
- 14. eBay交易API XML響應
- 15. 如何查看對象何時受到影響以及受到什麼影響?
- 16. 影響所有應用程序的CultureInfo
- 17. iPhone4 960x640 - 對應用程序的影響?
- 18. 應用程序bean影響性能
- 19. Perfmon對應用程序的影響
- 20. 'client_min_messages'設置如何影響使用libpq的應用程序?
- 21. 如何使用BigDecimal會影響應用程序性能?
- 22. 爲什麼/何時會話寫入容易受線程終止影響?
- 23. 受「外部」進程影響的SQL Server查詢響應時間?
- 24. 在交易中包裝延遲工作對Rails應用程序的影響
- 25. iPhone應用程序用戶界面受到ON CALL通知影響
- 26. AJAX與Java:HttpServletResponse如何受影響?
- 27. 如何獲取Zend_DB_table的受影響行?
- 28. 如何讓div不受css影響
- 29. 如何在JS應用程序中擁有一個受保護的作用域,該應用程序絕不會受到任何其他函數的影響?
- 30. ART虛擬機如何影響現有的應用程序?
感謝啊,我們不依賴於任何cookie,會話或HTTP認證。但是,我們確實在服務器上有IP地址限制,這只是我們標頭令牌安全性的一個附加層。 –
好的,所以在這種情況下,您缺少CSRF保護會使您的IP地址限制更加低效。攻擊者還必須有一個密鑰對來填充憑證頭,但現在他們可以從授權的IP範圍之外這樣做,通過劫持瀏覽器範圍之內(使用'從其他網站XMLHttpRequest'讓頭可以設置)。如果您不確信證書檢查本身足夠,並且您希望確保IP限制得到執行,那麼您需要CSRF保護。 – bobince