¿El uso de tokens CSRF como mecanismo de defensa bloquea todas las solicitudes de origen cruzado?

Navega tus respuestas
1

Estoy tratando de entender cómo se pueden prevenir los ataques CSRF. Por lo que he leído y entendido en línea, me parece que los tokens CSRF o el uso del encabezado de origen para la prevención de CSRF básicamente bloquean todas las solicitudes de origen cruzado (específicamente, solo se puede implementar para aquellas solicitudes que cambian de estado como POST)

¿Esto no significa que se bloquearían incluso las solicitudes legítimas de origen cruzado?

Solo quería saber si lo que he entendido es correcto.

¡Gracias!

    
pregunta Kevin 28.05.2017 - 22:38
fuente

1 respuesta

0
  

¿Esto no significa que se bloquearían incluso las solicitudes legítimas de origen cruzado?

El uso de tokens CSRF y la verificación del encabezado de Origin o del Referer no bloquean simplemente todas las solicitudes entre sitios. Solo significa que solo las solicitudes que tienen el token CSRF adecuado o que provienen de un origen aceptable son permitidas por la aplicación web. Por lo tanto, también se puede utilizar para permitir la ejecución controlada entre sitios si es necesario.

    
respondido por el Steffen Ullrich 29.05.2017 - 05:55
fuente

Lea otras preguntas en las etiquetas

¿Es útil la autenticación de 2 factores para el correo web cuando el correo electrónico que verifica a través de otros métodos no tiene 2fa? [duplicar] ¿Cómo oculta el sitio web la respuesta de la API?