私のウェブサイトは完全なSPAであり、認証されたユーザーのすべての要求はアクセストークンを使用して行われます。 csrfの保護は必要なのでしょうか?ウェブサイトからcsrf保護を無効にすると、どのような潜在的なセキュリティ上の問題が発生する可能性がありますか?ありがとう。oauth2 apiを使用しているSPA - csrf保護が必要です
3
A
答えて
2
私はあなたのセットアップを理解していれば、以下のように、それは次のとおりです。
- ユーザー投稿の資格情報(例:ログインフォーム)
- Serverは
- ユーザーとのリクエストヘッダ内のトークンを含む応答 に認証トークンを返しそれ以降のすべてのリクエスト
TLSを使用していて、トークンを適切に検証していると仮定すると、クロスサイトリクエストフォージェリからすでに保護されていると思います。
典型的なCSRFの保護は、正当なウェブサイトだけが見ることができる(例えば、クッキーを設定することによって)トークンを送信し、フォローアップリクエストヘッダー、クエリパラメータ良いアイデア)、または身体を要求する。あなたのようなトークンベースの認証は、すでにこれらの要件を満たしています。要するに、邪悪なサイトが偽造要求(CSRF)を迂回する可能性がある場合、邪悪なサイトはおそらく同じ脆弱性を利用して典型的なCSRF保護を無効にする可能性があります。
関連する問題
- 1. OAUTH2の場合CSRF保護が必要です
- 2. Spring OAuth2クライアント、CSRF保護
- 3. API CSRF保護
- 4. OAuth2とZF3-MVCを使用してREST APIを保護する
- 5. Rest APIのCSRF保護
- 6. Cordovaを使用してSPAとモバイルアプリケーションのREST APIを保護する方法
- 7. CSRF Spring Securityを使用した保護
- 8. oAuth2を使用したSpringブートAPIの保護|フィルタユーザー
- 9. 暗黙のクライアントとcsrf保護を持つOAuth2
- 10. Oauth2を使用してSPAでユーザーを作成する必要があります
- 11. csrfの保護
- 12. SPAを使用したCSRFトークン
- 13. DjangoでOauth2で保護されたサードパーティ製APIを使用する
- 14. IdentityServer4のCSRF保護
- 15. CSRF保護質問
- 16. php csrf保護ライブラリ
- 17. Angular2とLaravel CSRF保護
- 18. Spring CSRF保護シナリオ?
- 19. CodeIgniterのCSRF保護エラー:私は、configファイルにCSRFの保護を有効にしているCI 2を使用しています
- 20. KeycloackとoAuth2を使用して通常のSpring REST APIを確保するための例が必要
- 21. Django 1.2では{%csrf_token%} CSRF保護タグはまだ必要ですか?
- 22. JWTトークンを使用してSPAの機密データを保護する方法
- 23. spring oAuth2がリソースを保護していない
- 24. SSL:すべてのエンドポイントを保護する必要がありますか
- 25. CSRFフェニックスとアングルの保護
- 26. シンクロナイザートークンパターンを使用してCSRFを安全に保護する方法は?
- 27. ログインフォームベースのLDAP認証を使用したApacheリバースプロキシのCSRF保護
- 28. symfony 3でFOSUserBundleを使用してCSRF保護をグローバルに行う方法
- 29. CSRF AJAX&FORMによる保護 - CodeIgniter - 送信していない
- 30. Javascriptウィジェットで使用するためのAPIを保護する
アクセストークンはどのようにクライアントに送信されますか?クライアントはどのように返信しますか? – BeetleJuice
投稿要求に対する応答として、ベアラトークンとしてヘッダに添付されます。 PS私はトラフィックを保護するためにSSLを設定しました。 – bruddah