Задать вопрос
@vindetto
веб-разработка

Почему SOP не блокирует запросы с разных источников, позволяя воспроизвести CSRF?

Известно, что SOP помешает прочитать ответ запроса с разных источников, дабы защитить конфиденциальные данные. Но сами запросы посылаются. Это и делает возможным CSRF-атаку.

Например, если мы на evil.com инициируем POST-запрос на передачу денег и пошлём его bank.com, то браузер позволит это сделать и подставит все куки сайта bank.com в запрос. Фактически он даёт всю ответственность за защиту от CSRF сайту.

Мне вот интересно, а нельзя было бы применять SOP и для блокировки запросов. Причём, тот же CORS мог бы позволить в некоторых случаях сделать исключение, если сайту необходимо такое поведение?
  • Вопрос задан
  • 107 просмотров
Комментировать
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 1
vabka
@vabka Куратор тега Веб-разработка
CORS умеет блокировать не только ответы, но и запросы, но только в случае "сложных" запросов.
(Например POST с Content-Type: application/json будет сложным)
А банк от csrf-уязвимостей должен защититься при помощи csrf-токенов.

https://habr.com/ru/companies/macloud/articles/553826/
Ответ написан
2 комментария
2 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Front разработчик / Middle +
ГК «Талант» Сочи
от 100 000 до 160 000 ₽
AI Веб-дизайнер
NEKARTEL
До 120 000 ₽
Team Lead — Корпоративный мессенджер
Small Алматы
от 3 500 до 4 500 $
Ещё вакансии