私はRESTfulなJSON APIを構築しており、私はjson data theftとCross-Site Request Forgeryを心配しています。制限を実施するための "Origin" HTTPヘッダの互換性
これらの問題の両方に対処するために作成された良い解決策は、Origin http headerです。しかし、私は、この方法が現代のすべてのブラウザと互換性がないと懸念しています。これは有効な懸念事項ですか?互換性の問題が原因でOrigin HTTPヘッダーが役に立たないのですか? HTTP referer checkを実行する際に起源を考慮する必要がありますか?
オリジンはいいですが、Chrome拡張機能で変更できないヘッダーであるため、ホストのバックチェックも必要です。http://code.google.com/chrome/extensions/webRequest.html#life_cycle_footnote –
@Devin G Rhodeすべてのhttpヘッダーは、CSRF攻撃を除き、偽装するのは簡単です。攻撃者が被害者のブラウザにChrome拡張機能をインストールできる場合、CSRFよりも大きな問題があります。 – rook
@Rook攻撃者は、悪意のあるコードを拡張機能(独自の拡張機能やオープンソースのもの)に潜んで、人々がインストールするのを待つかもしれません。 「有用」であるために、特定のユーザ/マシンに向けられた攻撃である必要はありません。 –