¿Protección CSRF en el lado del servidor?

2

Soy consciente de que es mejor mantener mi aplicación web parcheada y protegida contra ese tipo de ataques, pero en mi caso esto es algo más experimental.

¿Hay algo útil, como un módulo que pueda usarse para apache (2.4.7) para "proteger" contra ataques CSRF?

    
pregunta user134969 02.01.2017 - 11:35
fuente

2 respuestas

5

La forma general es agregar tokens de protección CSRF a la entrada y compararlos en cada solicitud. Apache en su configuración no es capaz de almacenar datos de sesión sobre los usuarios, por lo que no podrá evaluar la autoridad de las solicitudes. Por lo tanto, los módulos de Apache para la protección CSRF no existen. Este es el trabajo de su aplicación web.

Editar: hay algunos arañazos en línea como este, llamado mod_csrf , pero no es realmente un mod apache en su significado tradicional . (Tienes que copiar archivos al webroot)

    
respondido por el Rápli András 02.01.2017 - 12:10
fuente
1

Su protección CSRF provendrá de la aplicación en sí, por ejemplo, CSRF guard en PHP, las señales anti csrf en .net.

Cada uno de sus formularios necesita un token validado por el servidor en el momento del envío, por lo que, según tengo entendido, no hay un módulo de complemento para el servidor web que pueda hacer esto, aunque podría hacerlo como parte de la defensa en profundidad. Considere mirar lo solicitado por el encabezado

Esta publicación tiene más información Protección CSRF con personalización encabezados (y sin el token de validación)

    
respondido por el iainpb 02.01.2017 - 12:17
fuente

Lea otras preguntas en las etiquetas