¿La verificación de los encabezados de origen y referencia para la protección CSRF bloqueará las solicitudes válidas?

Question

¿La verificación de los encabezados de origen y referencia para la protección CSRF bloqueará las solicitudes válidas?

#1 de Steffen Ullrich (2 votos)

1

Si el origen y el encabezado del remitente se verifican según hoja de trucos OWASP CSRF se sigue , ¿se bloquearán las solicitudes válidas (ignorando la parte del token de la recomendación para esta pregunta)? He visto algunas referencias al hecho de que dichos encabezados no siempre se envían, por lo que si las solicitudes se bloquean si no hay ninguna, es posible que se bloqueen las solicitudes válidas. ¿Se considera esto un problema real?

Edición adicional: las solicitudes que estoy tratando de verificar son solo aquellas que cambian el estado (base de datos) del sitio. No permitiría que las solicitudes $ _GET cambien el estado. No aplicaría la comprobación de encabezado a las solicitudes $ _GET que no cambian el sitio.

csrf

pregunta lindon 06.06.2017 - 11:20

fuente

1 respuesta

Lea otras preguntas en las etiquetas csrf

¿Cómo puedo protegerme de alguien que tome mi número de teléfono móvil? ¿Existe un estándar para determinar si una clave secreta / hash es segura?

score 2 · Answer 1

Esto depende de lo que consideres solicitudes válidas. Si espera que todas las solicitudes se deban a la navegación dentro de su aplicación web, entonces funcionará a menos que solicite explícitamente que el Referer no se envíe o si el usuario utiliza algún tipo de bloqueo del Referer (extensión o configuración del navegador). Pero, si considera válidas las solicitudes que provienen del acceso a un marcador en el navegador o un enlace dentro de un correo, entonces esto causará problemas porque no se enviará ningún Referer u Origen.

EDITAR: ya que, de acuerdo con la pregunta actualizada, su aplicación no espera que las solicitudes GET cambien de estado y, por lo tanto, no verifique estos para los marcadores de CSRF y los enlaces dentro de un correo no deberían ser un problema, por lo que puede esperar que el Referente y / o Origen que se enviará con cada solicitud de cambio de estado.