gpt4 book ai didi

api - CSRF 可以发生在 API 中吗?

转载 作者:行者123 更新时间:2023-12-03 04:18:44 27 4
gpt4 key购买 nike

我们使用的 Web 应用程序框架具有处理跨站点请求伪造的内置支持。当使用浏览器将数据发布到我们的网络服务器时,这种方法效果很好。

目前我们正在开发一个 API,其中上传的 XML 文件由同一应用程序框架处理。我们的 API 需要在上传的 XML 文件中使用唯一的 token 进行身份验证。由于 CSRF 检测默认启用,并且 XML 文件不包含 CSRF token ,因此我们目前无法通过此 API 上传任何数据。

但是,我们可以很容易地禁用 CSRF 检测,但这安全吗?

帖子here相当大胆地指出以下内容。

It is safe to remove csrf for API calls as the particular vulnerability can only be executed through a web browser.

这是真的吗?通过 API 不会发生与 CSRF 攻击类似的情况吗?

最佳答案

这取决于您如何使用 API。假设使用 API 的网站存在 CSRF 漏洞,则意味着该 API 也存在漏洞。

维基百科是这么说的

CSRF exploits the trust that a site has in a user's browser.

为了支持 API 调用,服务器要求将凭据与每个请求一起发送(或一些等效项,如摘要、安全句柄、哈希)。如果凭证存储在应用程序内存中(例如移动应用程序),API 就不易受到 CSRF 的影响。但是,如果凭据保存在 session 或 cookie 中,API 就会暴露给 CSRF

关于api - CSRF 可以发生在 API 中吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16318708/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com