我有一個簡單的網絡應用程序,可以對用戶進行身份驗證。它正在https下工作,因爲它很簡單,它需要兩個字段username,password + csrf token。無CSRF令牌的身份驗證
現在我已經實現了一個簡單的API,用於驗證具有給定用戶名和密碼的用戶是否存在。它使用jquery.post()方法調用,在同一個域上也使用https,但我只提供username和password。
假設我的API只有一個函數在「被註冊」的時候,我是否需要擔心什麼?當然蠻力。
假設我的API只有一個函數在「is-registered」的時候,我是否需要擔心什麼?
「有些東西」對我來說太廣泛了,無法妥善回答,但只要您保留請求及其結果和原因,您就不需要擔心CSRF。讓我來告訴你爲什麼。
CSRF攻擊意味着攻擊者欺騙或強制用戶執行攻擊者想要的參數和數據(攻擊者需要)的動作(發送請求),但是以用戶的名義(使用用戶的有效會話和/或其他用戶的私人信息)。
如果網站認爲用戶提出了請求,但它不會對任何人造成任何傷害,則不需要CSRF令牌,儘管他只是被迫這樣做。看起來就像你的情況一樣,因爲如果用戶被迫詢問是否存在具有攻擊者提供的名稱和密碼的帳戶,那麼這沒有什麼害處。
你只需要小心不要改變這種請求的原因及其根據哪個用戶發送它的結果。