¿El ASM Big-IP de F5 puede proteger contra CSRF para llamadas AJAX?

Dependerá de la versión de software F5 que tengas. En el pasado, ASM solo funcionaba inyectando el token en los campos en formularios POST de HTML estáticos, y no podía abordar otros tipos de peticiones o interacciones guiadas por el lado del cliente.

Parece que más recientemente, la función CSRF ahora puede inyectar el script del lado del cliente para:

• Aplique el token CSRF a los formularios GET y a los enlaces simples. Esta es una muy mala idea: no quieres filtrar tus tokens CSRF en las URL.

• Frob el prototipo XMLHttpRequest para inyectar un encabezado personalizado de valor fijo X-TS-AJAX-Request: true para omitir la protección CSRF. Esto es viable, pero los encabezados personalizados son la solución del hombre pobre, en comparación con los tokens adecuados; han sido vulnerables a ataques de caso extremo como de Flash en el pasado.

Estas características, al igual que gran parte de lo que hace ASM, son útiles como una solución temporal de última hora para cuando tenga que implementar aplicaciones que sabe que son inseguras pero no tiene la capacidad o el permiso para corregirlas correctamente. Pero si puede, es mucho más confiable abordar el problema en la propia aplicación.

Hasta donde entendí cómo se implementa CSRF, si una solicitud no contiene información de CSRF, se descarta. Independientemente de cómo se construyó la solicitud o de dónde se originó. CSRF agrega profundidad a las sesiones, lo que significa que un token CSRF no solo ofrece seguimiento y singularidad de las sesiones, sino que también se puede usar para regresar a un estado anterior de una aplicación web. Aunque este no es el uso previsto para CSRF, lo he visto usado como tal. Menciono esto porque a menudo es así como un sitio web impulsado por ajax maneja la experiencia del usuario de una aplicación web (apuntando a los estados)