私はWeb APIを持っており、それは角度で開発されたクロスドメインクライアントアプリケーションによって呼び出されます。 CSRF攻撃からWeb APIを保護する方法私はトークンベースの認証クロスドメインクライアントから呼び出された場合、CSRF攻撃からWeb APIを保護する方法は?
を使用しています
により、以下の記事を行ってきましたが、別のドメインでその場合は、上記の場合にも、クライアントとWeb APIは、同じドメイン内 を実行していますAntiForgeryTokenをどのように渡すことができますか?
アプリケーションがトークンを取得し始めたときに照会できるエンドポイントを作成するにはどうすればよいですか?その後、角度アプリからの今後のすべてのリクエストと一緒にそれらを送信します。
public class AntiForgeryController : ApiController
{
[HttpGet]
public IHttpActionResult Get()
{
string cookieToken;
string formToken;
AntiForgery.GetTokens(null, out cookieToken, out formToken);
return Ok(new {cookieToken, formToken});
}
}
攻撃者はこの呼び出しについても知っています。次に、この値をリクエストして呼び出して渡します。 – niknowj
確かにそれは可能です。このエンドポイントに何らかのタイプの認証が必要になります。 – peco