Encabezado de referencia y origen de CSRF ¿simplemente verifica el host?

0

Nota: esta pregunta no es lo mismo que el posible duplicado vinculado. Esa pregunta le pregunta a cómo verificar el encabezado de origen / referencia contra CSRF. Estas preguntas preguntan cómo implementar los detalles específicos.

Veo muchos lugares para protegerse contra CSRF para una API REST, debe verificar el referer y los encabezados de origen. Sin embargo, nadie parece explicar los detalles de eso. ¿Simplemente está comprobando que el host es el mismo suficiente? ¿Debería también comprobarse el esquema?

    
pregunta srchulo 06.08.2018 - 01:50
fuente

2 respuestas

0

Para obtener detalles sobre cómo deben protegerse los encabezados contra CSRF, consulte ¿Cómo hace el envío de encabezados HTTP de referencia proteger contra ataques CSRF ?

El punto clave es que son un mecanismo para permitir a los clientes confiables proteger a sus usuarios contra sitios web maliciosos. Fácilmente podrían ser falsificados por un cliente malicioso.

En cuanto al encabezado de host sobre el que pregunta, esto puede ser reescrito por proxies inversos, etc. (por lo tanto, existen encabezados de reenvío especiales para capturar esto, consulte enlace ). Al utilizar de forma explícita los encabezados diseñados para este fin, se reducen las posibilidades de que se vuelvan a escribir (cualquier software intermedio decente no debería tocarlos) y su servidor envía una respuesta incorrecta al cliente.

    
respondido por el Jack 07.08.2018 - 07:16
fuente

Lea otras preguntas en las etiquetas