Задать вопрос
@vindetto

Почему SOP не блокирует запросы с разных источников, позволяя воспроизвести CSRF?

Известно, что SOP помешает прочитать ответ запроса с разных источников, дабы защитить конфиденциальные данные. Но сами запросы посылаются. Это и делает возможным CSRF-атаку.

Например, если мы на evil.com инициируем POST-запрос на передачу денег и пошлём его bank.com, то браузер позволит это сделать и подставит все куки сайта bank.com в запрос. Фактически он даёт всю ответственность за защиту от CSRF сайту.

Мне вот интересно, а нельзя было бы применять SOP и для блокировки запросов. Причём, тот же CORS мог бы позволить в некоторых случаях сделать исключение, если сайту необходимо такое поведение?
  • Вопрос задан
  • 46 просмотров
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 1
vabka
@vabka Куратор тега Веб-разработка
CORS умеет блокировать не только ответы, но и запросы, но только в случае "сложных" запросов.
(Например POST с Content-Type: application/json будет сложным)
А банк от csrf-уязвимостей должен защититься при помощи csrf-токенов.

https://habr.com/ru/companies/macloud/articles/553826/
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы