作者:丶敷衍怎么演彡_175 | 来源:互联网 | 2022-12-06 13:50
我读了很多:
https://github.com/pillarjs/understanding-csrf
https://security.stackexchange.com/questions/10227/csrf-with-json-post
JSON Web服务是否容易受到CSRF攻击?
(ApolloServer站点上没有任何内容:https ://www.apollographql.com/docs/apollo-server/ )
但是,我还无法理解我们的端点(// graphql)是否受到这种类型的攻击的保护,或者是否有必要使用以下解决方案来保护它:https : //github.com/expressjs/csurf。
我不清楚的是在这里:https : //github.com/pillarjs/understanding-csrf他们说:
当您错误地使用CSRF令牌时:...将它们添加到JSON AJAX调用中如上所述,如果您不支持CORS并且您的API严格是JSON,则将CSRF令牌添加到您的AJAX调用中绝对没有意义。
如果我们将端点限制为仅使用Content-Type: application/json
,那么我们安全吗?
1> 小智..:
如果我们限制端点仅使用Content-Type:application / json,我们安全吗?
JSON不能不受CSRF攻击的影响(但需要为攻击者做些额外的工作),并且通过扩展,如果配置不当,GraphQL也不会。如果将其分解为请求/响应,则CSRF的通常情况将在此处适用:
受害者使用您的GraphQL Web服务进行身份验证。
攻击者将恶意链接发送给受害者。
受害者单击链接并访问攻击者的恶意网站。
攻击者的网站使用受害者COOKIE发送JSON请求。
Web Service接收带有有效会话令牌/ COOKIE的JSON请求,并且功能在受害者不知情的情况下运行。
在这种情况下,您的服务容易受到CSRF的攻击。确保将CORS配置为仅允许来自受信任域的白名单的请求,并确保正在使用CSRF令牌。实施多种保护将降低成功攻击的风险。
以下链接更加详细,您甚至可以自己尝试:https :
//blog.appsecco.com/exploiting-csrf-on-json-endpoints-with-flash-and-redirects-681d4ad6b31b
这个答案也很重要:
JSON Web服务是否容易受到CSRF攻击?