gpt4 book ai didi

csrf - JSON API 和 CSRF

转载 作者:行者123 更新时间:2023-12-03 03:41:47 33 4
gpt4 key购买 nike

我正在开发一个 Web API。身份验证是通过 cookie 进行的。所有端点通过JSON接收参数在请求正文中。

我需要实现 CSRF token保护他们?这怎么可能被利用呢?是否可以通过正常发送JSON <form>元素?

攻击者有可能拥有这样的东西吗?

<form type="application/json" method="POST">
<input name="json" value="{ my json code here }">
<input type="submit">Send</input>
<form>

最佳答案

首先,您必须保护您的 API 以避免可能导致对其他网站进行 CSRF 攻击的 HTML/JavaScript 注入(inject)。要做到这一点:

  • 所有通信均使用 HTTPS 以避免 MITM 攻击

  • 清理所有收入数据以防止 HTML/JavaScript/SQL/LDAP/Command/... 注入(inject)。您还可以使用 Web 应用程序防火墙或 WAF 来防止不同类型的攻击。<​​/p>

  • 使用 HTTP header :

    X-XSS-Protection "1; mode=block" - 此 header 启用最新 Web 浏览器中内置的跨站点脚本 (XSS) 过滤器。

    Content-Security-Policy - 此 header 告诉浏览器它只能与您明确允许的域进行通信。

如果您的 API 提供任何敏感信息,请使用 CSRF token 来避免对您的 API 进行 CSRF 攻击。例如,可以通过将 JavaScript 注入(inject)另一个网站来对 API 进行 CSRF 攻击。在这种情况下,注入(inject)可以发出正确的 AJAX 请求。

关于csrf - JSON API 和 CSRF,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48918037/

33 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com