Нужен ли CSRF Token в REST API?

Question

Mors Clamor @66demon666

Сетевой админ, АТС-админ

Нужен ли CSRF Token в REST API?

Здравствуйте. Нужен ли CSRF токен для использования API? У меня авторизация пользователя HTTP Basic, и если я правильно понял суть CSRF вообще, то он актуален только для форм?

Вопрос задан более трёх лет назад
1122 просмотра

Комментировать

Подписаться 1 Простой Комментировать

Помогут разобраться в теме Все курсы

Нетология

Специалист по информационной безопасности + нейросети

12 месяцев

Далее
Академия Эдюсон

Специалист по кибербезопасности: тариф Базовый

5 месяцев

Далее
ProductStar × РБК

Профессия: Инженер по информационной безопасности + ИИ

9 месяцев

Далее

Решения вопроса 1

3 комментария

Mors Clamor @66demon666 Автор вопроса

JWT это хорошо, но я не совсем понял, что будет, если вообще не использовать дополнительные токены, если есть Basic AUTH.

Написано более трёх лет назад
IDONTSUDO @IDONTSUDO

66demon666, браузеры отправляют куки вместе со всеми запросами. CSRF-атаки зависят от этого поведения. Если ты не используешь куки-файлы, тогда нет абсолютно никакой возможности для CSRF-атак и нет причин для защиты CSRF. Если у тебя есть куки, особенно если ты используешь их для аутентификации, тогда тебе нужна защита от CSRF.

Написано более трёх лет назад
Mors Clamor @66demon666 Автор вопроса

IDONTSUDO, ну так API вроде как подразумевает отсутствие кук. Хорошо, я понял, спасибо!

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Go

+1 ещё

Простой
Как правильно описывать архитектуру для REST API приложения?
- 1 подписчик
- 14 мая
- 115 просмотров
2

ответа
Программное обеспечение и интернет-сервисы

+1 ещё

Простой
Какое программное обеспечение для этого надо использовать для передачи файлов с чувствительными данными?
- 1 подписчик
- 03 мая
- 253 просмотра
4

ответа
Информационная безопасность

+1 ещё

Средний
Можно ли найти автора отзыва на Яндекс?
- 1 подписчик
- 15 апр.
- 573 просмотра
4

ответа
Информационная безопасность

+1 ещё

Простой
Насколько безопасный процесс?
- 2 подписчика
- 31 мар.
- 507 просмотров
1

ответ
Информационная безопасность

+3 ещё

Простой
Как решить потенциальную угрозу информационной безопасности при переходе на VDI (ESXI) и тонкие клиенты?
- 2 подписчика
- 20 мар.
- 324 просмотра
6

ответов
Информационная безопасность

Простой
Сколько времени уйдет на брутфорс пароля из 67 символов?
- 2 подписчика
- 06 мар.
- 786 просмотров
5

ответов
RESTful API

Простой
Является ли 200 OK с телом ошибки антипаттерном REST?
- 1 подписчик
- 03 мар.
- 213 просмотров
5

ответов
Информационная безопасность

+1 ещё

Простой
Ошибка в команде для подбора перебора паролей Nmap?
- 2 подписчика
- 26 февр.
- 209 просмотров
2

ответа
RESTful API

Простой
В каком случае корректно возвращать 422 вместо 400 при валидации JSON?
- 1 подписчик
- 20 февр.
- 137 просмотров
0

ответов
Системное администрирование

+2 ещё

Простой
Возможна ли такая постоянная трансляция экрана сотрудников на работе?
- 3 подписчика
- 06 февр.
- 1183 просмотра
11

ответов
Показать ещё Загружается…

Answer 1 · 2019-10-27 13:50:34

в REST архитектуре чаще использую JWT ниже ссылка на отличные объяснения Илья Климова о том что это такое и с чем его едят.

https://www.youtube.com/watch?v=vQldMjSJ6-w&t=1s

Нужен ли CSRF Token в REST API?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт