Нужен ли CSRF Token в REST API?

Question

Mors Clamor @66demon666

По навыкам джун - по факту безработный

Нужен ли CSRF Token в REST API?

Здравствуйте. Нужен ли CSRF токен для использования API? У меня авторизация пользователя HTTP Basic, и если я правильно понял суть CSRF вообще, то он актуален только для форм?

Вопрос задан более трёх лет назад
985 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Решения вопроса 1

3 комментария

Mors Clamor @66demon666 Автор вопроса

JWT это хорошо, но я не совсем понял, что будет, если вообще не использовать дополнительные токены, если есть Basic AUTH.

Написано более трёх лет назад
IDONTSUDO @IDONTSUDO

66demon666, браузеры отправляют куки вместе со всеми запросами. CSRF-атаки зависят от этого поведения. Если ты не используешь куки-файлы, тогда нет абсолютно никакой возможности для CSRF-атак и нет причин для защиты CSRF. Если у тебя есть куки, особенно если ты используешь их для аутентификации, тогда тебе нужна защита от CSRF.

Написано более трёх лет назад
Mors Clamor @66demon666 Автор вопроса

IDONTSUDO, ну так API вроде как подразумевает отсутствие кук. Хорошо, я понял, спасибо!

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Информационная безопасность

Простой
Могут ли злоумышленники физический заразить материнскую плату?
- 1 подписчик
- 21 час назад
- 82 просмотра
4

ответа
Информационная безопасность

+1 ещё

Простой
Как запустить vbs с правами администратора, но без ввода пароля?
- 2 подписчика
- 24 апр.
- 194 просмотра
1

ответ
Информационная безопасность

+1 ещё

Средний
Как рассчитать количество информации в двоично-симметричном канале?
- 1 подписчик
- 23 апр.
- 43 просмотра
0

ответов
Информационная безопасность

Простой
Какие сканеры уязвимости посоветуете?
- 1 подписчик
- 22 апр.
- 98 просмотров
1

ответ
Информационная безопасность

+1 ещё

Средний
Может ли при подключении внешний жёсткий диск показать иной серийный номер?
- 1 подписчик
- 22 апр.
- 79 просмотров
0

ответов
Информационная безопасность

+1 ещё

Простой
В каких случаях возможно использование несертифицированного Web Application Firewall?
- 2 подписчика
- 22 апр.
- 157 просмотров
2

ответа
Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- 18 апр.
- 152 просмотра
2

ответа
Информационная безопасность

+4 ещё

Простой
Как исправить ошибку 0x138c при настройке консолидации логов с одного контроллера домена на другой?
- 1 подписчик
- 07 апр.
- 84 просмотра
0

ответов
Windows

+4 ещё

Средний
Как исключить Извещение безопасности Microsoft Outlook для ссылок в письмах?
- 2 подписчика
- 07 апр.
- 225 просмотров
1

ответ
Информационная безопасность

Простой
Информационная безопасность в облачных сервисах?
- 2 подписчика
- 03 апр.
- 219 просмотров
5

ответов
Показать ещё Загружается…

Специалист по управлению уязвимостями (информационная безопасность)

Гринатом • Москва

от 100 000 до 120 000 ₽

DevSecOps

Outlines Tech

от 300 000 до 350 000 ₽

Руководитель направления информационной безопасности ОКИИ

Интер РАО – Управление сервисами • Санкт-Петербург

от 180 000 ₽

Подключить сервер к сети

27 апр. 2024, в 02:39

2500 руб./за проект

Необходимо сверстать приложение согласно макету Figma используя React

26 апр. 2024, в 22:22

1500 руб./за проект

Написать модуль подключения матрицы Sony к ПЛИС (Verilog)

26 апр. 2024, в 21:30

15000 руб./за проект

Answer 1 · 2019-10-27 13:50:34

в REST архитектуре чаще использую JWT ниже ссылка на отличные объяснения Илья Климова о том что это такое и с чем его едят.

https://www.youtube.com/watch?v=vQldMjSJ6-w&t=1s

Нужен ли CSRF Token в REST API?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт