我有一个由简单的 JSON API 和 React 前端组成的应用程序。身份验证通过 cookie 处理,前端由我用于 API 的同一个域提供。由于我不允许 CORS,想知道如果 API 仅接受带有一些自定义标头的请求(例如 X-Requested-With 设置为 XMLHttpRequest 时,API 是否会受到 CSRF 攻击的保护?
【问题讨论】:
标签: api security csrf csrf-protection
攻击者可以使用XMLHttpRequest 发送跨站点请求,而不会违反同源策略 (SOP) - 这里唯一的限制是攻击者的站点将无法看到响应。 Cookie 包含在受害者浏览器发送的每个请求中,因此 API 调用仍将通过跨站点 XHR 触发,因此该 API 仍然容易受到 CSRF 的攻击。
如果您不想更改任何安全架构,请使用CSRF Prevention Cheat Sheet recommends checking the Origin header。本文档描述了其他方法,例如 CSRF 令牌同步器方法,它可以用作标头元素,被认为是一种更强大的防御方法。
【讨论】:
Origin - 我向你保证这是可以利用的。可以避免飞行前的选项。