¿El uso de la autenticación basada en token hace que las comprobaciones de CSRF en el inicio de sesión no sean necesarias?

4

Según mi entendimiento, evitar el uso de cookies como mecanismo de autenticación evita las vulnerabilidades de CSRF por completo (es decir, la autenticación basada en token en un SPA), cuando se autentica.

¿Esto también hace que las comprobaciones de CSRF en la página de inicio de sesión / punto final de API sean innecesarias? Por lo que puedo ver, a pesar de que se nos puede engañar para que le enviemos solicitudes de manera involuntaria, esto no tendría ningún efecto, ya que no estamos utilizando cookies para autenticar solicitudes posteriores.

Sin embargo, quería consultar con su sabiduría colectiva: ¿podemos evitarlos en la página de inicio de sesión? ¿Y qué pasa con otras páginas no autenticadas como restablecimientos de contraseña?

    
pregunta James Crowley 26.05.2014 - 13:29
fuente

1 respuesta

2

Si trata una solicitud especialmente porque proviene de una dirección IP particular o incluye cookies particulares, existe el potencial de CSRF. Si ninguna información específica de la máquina influye en la forma en que se procesa la solicitud, no hay potencial para CSRF. Una página de restablecimiento de contraseña podría estar sujeta a CSRF si de alguna manera se establece de manera predeterminada el último nombre de usuario utilizado en esa máquina (es decir, basado en cookies, o peor, la dirección IP) y permite que se realice el restablecimiento sin especificar el nombre de usuario como parte de la URL o en datos POST. (Aún así, el daño sería limitado ya que solo estamos hablando de una solicitud de restablecimiento de contraseña).

    
respondido por el jbms 28.05.2014 - 23:52
fuente

Lea otras preguntas en las etiquetas