2017-04-04 19 views
0

私は、ユーザーの認証を行うシンプルなWebアプリケーションを持っています。それは2つのフィールドusername,password + csrf tokenを必要とする単純なので、httpsで動作しています。CSRFトークンのない認証

ここでは、指定したユーザー名とパスワードを持つユーザーが存在するかどうかを検証する簡単なAPIを実装しました。 jquery.post()メソッドと同じドメイン上でhttpsを使用して呼び出されますが、私はusernamepasswordしか提供しません。

私のAPIは「is-registered」の瞬間に1つの機能しか持っていないと思うので、何か心配する必要はありますか?もちろんブルートフォースを除いて。

答えて

1

私のAPIは「is-registered」の瞬間に1つの機能しか持たないと思いますが、何か心配する必要はありますか?

「Something」は非常に広範囲にしか答えることができませんが、あなたが説明したような要求とその結果と原因を維持している限り、CSRFについて心配する必要はありません。理由を教えてください。

CSRF攻撃とは、攻撃者がパラメータや攻撃者が望むデータを使用して攻撃者が望むアクション(送信要求)をトリックまたは強制的に実行することを意味しますが、ユーザーの有効セッションやユーザの個人情報)。

CSRFトークンは、ユーザーがリクエストしたと思っても、誰にも害を及ぼさないようにするためには必要ありません。あなたが攻撃者によって提供された名前とパスワードを持つアカウントが存在するかどうかをユーザーが強く尋ねると、害はないので、あなたのように思えます。

このような要求の原因とその結果をユーザーが送信したことに基づいて変更しないように注意する必要があります。

関連する問題