Estoy trabajando en el sitio web, donde quiero incluir controles csrf mediante el uso de controles de referencia, ¿será esto suficiente para proteger el formulario del ataque csrf?
si no es lo que puede hacer un atacante para evitarlo?
Estoy trabajando en el sitio web, donde quiero incluir controles csrf mediante el uso de controles de referencia, ¿será esto suficiente para proteger el formulario del ataque csrf?
si no es lo que puede hacer un atacante para evitarlo?
Según OWASP:
Aunque es trivial falsificar el encabezado del remitente en su propio navegador, es imposible hacerlo en un ataque CSRF. La comprobación del referente es un método comúnmente utilizado para prevenir CSRF en dispositivos de red incorporados porque no requiere un estado por usuario. Esto convierte a un referente en un método útil de prevención de CSRF cuando la memoria es escasa.
Sin embargo
Sin embargo, se considera que la verificación del referer es un elemento más débil de la protección CSRF. Por ejemplo, las vulnerabilidades de redireccionamiento abierto se pueden usar para explotar solicitudes basadas en GET que están protegidas con una verificación de referencia y algunas organizaciones o herramientas de navegador eliminan los encabezados de referencia como una forma de protección de datos. También hay errores comunes de implementación con las verificaciones de los remitentes. Por ejemplo, si el ataque CSRF se origina en un dominio HTTPS, se omitirá el referente.
La explicación completa: enlace
Lea otras preguntas en las etiquetas attacks csrf attack-vector