"Accept:application/json"ヘッダーを持つリクエストのみを受け付けるSPA用に構築されたJSON APIがあります。ブラウザに次のフォームを送信すると、「受け入れられません」というメッセージが表示されます。 HTTPエラーです。APIのCSRFからの保護方法としてカスタムの必須HTTPヘッダーを使用するのは安全ですか?
<form method="POST" action="https://api.example.domain/resource">
<input type="password" name="password" value="CSRF">
<input type="submit" value="Click!">
</form>
これは、APIがCSRFタイプの攻撃から免除されていることを意味しているのですか、何か不足していますか?
こんにちはホルヘ、あなたが共有してきた美しい記事をありがとう。したがって、REST APIが 'Access-Control-Allow-Origin:https:// domain.name'ヘッダーを各応答に設定する場合、' Origin'と 'Referer'ヘッダーもチェックする必要がありますか、それとも十分でしょうか? – tooleks
私には十分だと思われる。 しかし、Webアプリケーションにセキュリティを追加するときに進む最善の方法は、OWASPのガイドラインに従うことです。あなたがすでに十分安全であると思っても、あなたは何かを見逃す可能性があります。だから、 'Origin'や' Referer'ヘッダーやシンクロナイザートークンを使用することをお勧めします。 –