Prevención de CSRF para servicios RESTful

8

¿Tengo razón si reclamo que no existe ninguna protección confiable contra CSRF para un entorno de estado actual? Tengo un servicio RESTful (compilación con RESTEasy) que se debe proteger contra ataques CSRF. Busqué en Google para la prevención de CSRF sin estado pero lo que encontré fue solo este artículo que es casi el doble se somete De acuerdo con los comentarios sobre este artículo, este enfoque no es una contramedida segura.

Entonces, ¿hay alguna otra contramedida confiable contra este ataque?

    
pregunta My-Name-Is 09.09.2013 - 19:53
fuente

1 respuesta

12

Los servicios RESTful son "sin estado", excepto cuando se trata de autenticación.

La autenticación es un estado que no se puede evitar y, por lo tanto, se permite en un diseño RESTful. En los servicios REST, este estado a menudo se implementa como un token de autenticación o en el caso de OAuth: un token de portador de autenticación. Este token debe ser desconocido para el atacante y, por lo tanto, es adecuado: un .

Después de todo, si el atacante conocía el token de autenticación, no necesitaría CSRF para acceder a la API, pero podría.

    
respondido por el rook 09.09.2013 - 20:27
fuente

Lea otras preguntas en las etiquetas