私はanglejsを使用して構築された単一のページアプリケーションを持っています。これは$ httpサービスを使用してGETリクエストとPOSTリクエストを発行します。サイトはユーザーを認証せず、匿名です。匿名のWebサイトに対するCSRFの攻撃を防ぐ方法はありますか?私は$ HTTPサービスを使用するangularjsでそれを実装するための多くのポストを見つけました。しかし、それが匿名のアプリケーションにも当てはまるのかどうかはわかりませんでした。誰でも助言してもらえますか?ありがとうございました!シングルページWebAPIをCSRF攻撃から保護する方法は?
あなたが認証を持っていない場合、CSRFについて心配する必要はありません。さらに、ヘッダーとして渡されるトークン認証を追加する場合、それについても心配する必要はありません。
CSRFの問題は、サイトへの認証Cookieを自動的に使用する別のサイトです。
おそらく、あなたはCSRFではなく他のことを心配していたでしょうか?サイト全体が公開され、匿名で公開されているため、正確には何を恐れていますか?
アプリケーションがユーザーを認証しない場合、CSRF攻撃について心配する必要はないと思います。
"クロスサイトリクエスト偽造(CSRF)は、悪意のあるWebサイト、電子メール、ブログ、インスタントメッセージ、またはプログラムによって、ユーザーのWebブラウザが信頼されたサイトで望ましくない操作を実行する攻撃の一種です。ユーザーは現在認証されています。 これはhttps://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet
からです。これは、「がユーザが現在を認証されている信頼できるサイト上の不要なアクションを実行するために、ユーザーのWebブラウザの原因となる」と言います。