Нужен ли CSRF Token в REST API?

Question

[Mors Clamor]

Здравствуйте. Нужен ли CSRF токен для использования API? У меня авторизация пользователя HTTP Basic, и если я правильно понял суть CSRF вообще, то он актуален только для форм?

Answer 1

[IDONTSUDO]

в REST архитектуре чаще использую JWT ниже ссылка на отличные объяснения Илья Климова о том что это такое и с чем его едят.

https://www.youtube.com/watch?v=vQldMjSJ6-w&t=1s

Comments

[Mors Clamor]

JWT это хорошо, но я не совсем понял, что будет, если вообще не использовать дополнительные токены, если есть Basic AUTH.

[IDONTSUDO]

66demon666, браузеры отправляют куки вместе со всеми запросами. CSRF-атаки зависят от этого поведения. Если ты не используешь куки-файлы, тогда нет абсолютно никакой возможности для CSRF-атак и нет причин для защиты CSRF. Если у тебя есть куки, особенно если ты используешь их для аутентификации, тогда тебе нужна защита от CSRF.

[Mors Clamor]

IDONTSUDO, ну так API вроде как подразумевает отсутствие кук. Хорошо, я понял, спасибо!