Encabezado de referencia y origen de CSRF ¿simplemente verifica el host?

Question

Encabezado de referencia y origen de CSRF ¿simplemente verifica el host?

#1 de Anders (1 votos)
#2 de Jack (0 votos)

0

Nota: esta pregunta no es lo mismo que el posible duplicado vinculado. Esa pregunta le pregunta a cómo verificar el encabezado de origen / referencia contra CSRF. Estas preguntas preguntan cómo implementar los detalles específicos.

Veo muchos lugares para protegerse contra CSRF para una API REST, debe verificar el referer y los encabezados de origen. Sin embargo, nadie parece explicar los detalles de eso. ¿Simplemente está comprobando que el host es el mismo suficiente? ¿Debería también comprobarse el esquema?

rest csrf referer

pregunta srchulo 06.08.2018 - 01:50

fuente

2 respuestas

Lea otras preguntas en las etiquetas rest csrf referer

Creando un crlertificate autofirmado simple con openssl x509 / ca / req ataques basados en Arduino

score 1 · Answer 1

No estoy seguro de estar de acuerdo con la premisa de que verificar la referencia y los encabezados de origen es la mejor defensa. En unos pocos casos de esquina, ambos encabezados faltarán. En estos casos, la única opción segura es bloquear la solicitud, lo que podría afectar la funcionalidad de algunos usuarios legítimos.

Si esta sigue siendo la ruta que desea tomar, :

Comience con el encabezado de origen y, si falta, use el encabezado de referencia.
Nuevamente, si ninguno de estos está presente, debes bloquear.
La comparación de URL: s puede parecer simple, pero en realidad es una cosa muy difícil de hacer. Asegúrese de que su comparación sea sólida, y por ejemplo ese good.com.evil.com no pasa como good.com . Eso es solo un ejemplo, estoy seguro de que hay más escollos por ahí. Preferiblemente, debería usar una buena biblioteca bien probada para esta tarea.
Probablemente sea bueno verificar que el esquema sea http:// o https:// . No estoy seguro de si hay algún ataque que pueda usarse si no se realiza esta comprobación, pero Dios sabe qué trucos inteligentes hay con URI de datos o no.

Si desea otras opciones, considere los clásicos como los tokens anti-CSRF o envíe doble las cookies. O para una API, solo usar un token de portador en el encabezado de autenticación es suficiente.

score 0 · Answer 2

Para obtener detalles sobre cómo deben protegerse los encabezados contra CSRF, consulte ¿Cómo hace el envío de encabezados HTTP de referencia proteger contra ataques CSRF ?

El punto clave es que son un mecanismo para permitir a los clientes confiables proteger a sus usuarios contra sitios web maliciosos. Fácilmente podrían ser falsificados por un cliente malicioso.

En cuanto al encabezado de host sobre el que pregunta, esto puede ser reescrito por proxies inversos, etc. (por lo tanto, existen encabezados de reenvío especiales para capturar esto, consulte enlace ). Al utilizar de forma explícita los encabezados diseñados para este fin, se reducen las posibilidades de que se vuelvan a escribir (cualquier software intermedio decente no debería tocarlos) y su servidor envía una respuesta incorrecta al cliente.