Así que he desarrollado una aplicación web, que también tiene una API.
La API admite solicitudes GET y POST. La API es completamente sin estado, significa que nada se almacena o modifica en una base de datos / archivo cuando se usa. La API (¡actualmente!) Necesita una cookie de autenticación para ser utilizada.
¿Este sistema tiene problemas CSRF? Estoy bastante seguro de que no lo hace (ya que el uso de la API no cambia el estado del lado del servidor), pero quería asegurarme ...
Con CSRF, el atacante puede controlar una solicitud enviada a otro sitio. Pero el atacante es incapaz de leer la respuesta. Dado que su API es meramente informativa y no causa ningún cambio en el servidor, la solicitud entre sitios aún es posible, pero no causará ningún problema permanente.
Pero dependiendo de las capacidades de su API, todavía podría ser posible que el atacante pueda activar un alto uso de recursos en el servidor mediante el uso de parámetros inesperados para la solicitud. Esto podría resultar en una denegación de servicio para los usuarios adecuados de la API. Por lo tanto, podría valer la pena detectar y bloquear solicitudes CSRF.
Además, aunque CSRF en sí no es posible, otros ataques como el DNS se pueden volver a enlazar o Cross Site Scripting podrían ser posibles. Al contrario de CSRF, estos ataques también tienen acceso a los datos de respuesta.
Lea otras preguntas en las etiquetas web-application csrf