Нужен ли CSRF Token в REST API?

Question

Mors Clamor @66demon666

Сетевой админ, АТС-админ

Нужен ли CSRF Token в REST API?

Здравствуйте. Нужен ли CSRF токен для использования API? У меня авторизация пользователя HTTP Basic, и если я правильно понял суть CSRF вообще, то он актуален только для форм?

Вопрос задан более трёх лет назад
1036 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Решения вопроса 1

3 комментария

Mors Clamor @66demon666 Автор вопроса

JWT это хорошо, но я не совсем понял, что будет, если вообще не использовать дополнительные токены, если есть Basic AUTH.

Написано более трёх лет назад
IDONTSUDO @IDONTSUDO

66demon666, браузеры отправляют куки вместе со всеми запросами. CSRF-атаки зависят от этого поведения. Если ты не используешь куки-файлы, тогда нет абсолютно никакой возможности для CSRF-атак и нет причин для защиты CSRF. Если у тебя есть куки, особенно если ты используешь их для аутентификации, тогда тебе нужна защита от CSRF.

Написано более трёх лет назад
Mors Clamor @66demon666 Автор вопроса

IDONTSUDO, ну так API вроде как подразумевает отсутствие кук. Хорошо, я понял, спасибо!

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Информационная безопасность

+1 ещё

Простой
Публикация файлов в интернете только после утверждения ИБ. Что использовать?
- 1 подписчик
- 15 нояб.
- 84 просмотра
1

ответ
Linux

+1 ещё

Простой
Какой дистрибутив выбрать для инфбеза?
- 1 подписчик
- 15 нояб.
- 1191 просмотр
8

ответов
Информационная безопасность

Простой
Как мошенники делают на Госуслугах красную табличку «Кабинет занят, с ним работает оператор» и как этому противодействовать?
- 1 подписчик
- 14 нояб.
- 363 просмотра
2

ответа
Ubuntu

+2 ещё

Простой
Хакнули сервер, как избавиться от майнеров?
- 2 подписчика
- 04 нояб.
- 502 просмотра
2

ответа
Django

+1 ещё

Простой
Django приложение как rest-клиент, где получить и сохранить токен?
- 2 подписчика
- 30 окт.
- 139 просмотров
1

ответ
Linux

+1 ещё

Средний
Как сделать Linux более безопасным?
- 2 подписчика
- 28 окт.
- 889 просмотров
6

ответов
Информационная безопасность

+1 ещё

Средний
Обеспечивает ли HTTPS полное шифрование и невозможность компрометации данных?
- 4 подписчика
- 26 окт.
- 4878 просмотров
8

ответов
Компьютерные сети

+2 ещё

Простой
Заблокированные сайты свободно открываются без VPN — почему?
- 1 подписчик
- 24 окт.
- 21680 просмотров
7

ответов
Информационная безопасность

+1 ещё

Простой
Я хочу разделить хостинг который я буду арендовать между мной и другим человеком. Это нормально?
- 1 подписчик
- 16 окт.
- 345 просмотров
1

ответ
iOS

+1 ещё

Средний
Какой корректный формат смс сообщения для определения в нем OTP кода?
- 1 подписчик
- 15 окт.
- 125 просмотров
2

ответа
Показать ещё Загружается…

Специалист по управлению уязвимостями (информационная безопасность)

Гринатом • Москва

от 100 000 до 120 000 ₽

Специалист отдела информационной безопасности

Cloud4Y • Ярославль

До 230 000 ₽

Руководитель направления информационной безопасности ОКИИ

Интер РАО – Управление сервисами • Санкт-Петербург

от 180 000 ₽

Перерисовать логотип в векторе

22 нояб. 2024, в 00:55

500 руб./за проект

Разработка алгоритма на python (Data engineering)

21 нояб. 2024, в 23:30

300000 руб./за проект

Верстка Flutter + API

21 нояб. 2024, в 22:21

3000 руб./в час

Answer 1 · 2019-10-27 13:50:34

в REST архитектуре чаще использую JWT ниже ссылка на отличные объяснения Илья Климова о том что это такое и с чем его едят.

https://www.youtube.com/watch?v=vQldMjSJ6-w&t=1s

Нужен ли CSRF Token в REST API?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт