jjzjj

javascript - 您如何保护浏览器使用的 RESTful API 免受 CSRF 攻击?

coder 2024-05-14 原文

我正在为一组网站设计 API。这些站点非常相似(有点像 StackOverflow、SuperUser 和 ServerFault),它们有一个共享的后端是有意义的。因此,我们决定尝试使用一个很好的 REST API 作为后端,以及一堆使用所述 API 的非常相似但不同的前端。前端最好是全静态的,但如果事实证明这是不可能的,那也不是硬性要求。

我现在正在设计该 API,我担心安全隐患,尤其是 CSRF。根据我对 CSRF 攻击的基本理解,它们由两个重要组成部分组成:

  1. 能够命名资源和请求正文。

  2. 诱使用户/浏览器使用环境身份验证(如 session )向看起来已通过身份验证的资源发出请求。

许多修复 CSRF 攻击的经典方法都是基于 session 的。由于我的 REST API 并不真正执行 session ,这既可以防止很多向量,也可以防止几乎所有修复它们的方法。例如,双重提交没有意义,因为没有什么可以双重提交。

我最初的方法涉及攻击 CSRF 攻击的第 2 部分。如果我对所有请求进行身份验证(比如使用 HTTP Basic Auth),并且浏览器不保存这些凭据(例如,一些 JS 发出了请求),只有拥有凭据的 JS 才能发出请求,我们就完成了.明显的缺点是应用程序需要知道用户的凭据。另一个不太明显的缺点是,如果我想在 API 端安全地存储凭据,那么验证密码应该花费固定的、重要的时间。如果安全地验证密码需要 100 毫秒,那么每个其他请求将至少需要 100 毫秒 + eps,并且需要一些该死的聪明的客户端技巧才能让它感觉不慢。我也许能够缓存它(因为凭据总是相同的),如果我非常小心,我可能会在不引入计时漏洞的情况下设法做到这一点,但这听起来像是马蜂窝。

OAuth 2.0 似乎有点过头了,但我想这毕竟是最好的解决方案,以免我最终实现不当。我想我现在可以做 HTTP Basic Auth 的事情,当我们有第三方应用程序开发人员时转向 OAuth。

与 OAuth 的阻抗不匹配。基本上,OAuth 确实想帮助应用程序访问另一个应用程序上的内容。我希望用户在这样的帐户存在之前就在其中一个前端注册。

我还考虑过通过使 URL 随机化来攻击第 1 点——即将标记添加到查询字符串。这肯定会起作用,并且它非常接近表单中传统随机标记的工作方式,并且考虑到 HATEOAS,它甚至应该是相当 RESTful 的,尽管这提出了两个问题:1) 你从哪里开始?是否有一个强制性的 API 起点,您可以在其中使用 HTTP Basic Auth 登录? 2) 如果应用开发者不能预先预测一个 URL,那该死的 HATEOAS 会让他们高兴多少?

我看过How to prevent CSRF in a RESTful application? ,但我不同意随机 URI 必然是非 RESTful 的前提。此外,该问题并没有真正令人满意的答案,也没有提到 OAuth。此外, session 双重提交解决方案无效,正如我上面提到的(静态前端的域与 API 端点的域不同)。

我意识到我在这里的根本目的是尝试允许来自一个域的跨站点请求并禁止来自另一个域的跨站点请求,这并不容易。当然必须有一些合理的解决方案?

最佳答案

根据定义,CSRF token 是“每个用户状态”,因此不是 RESTful。出于安全目的,大多数 API 打破了“每个用户状态”的要求,并要求将 CSRF token 作为 HTTP header 参数传递。

preventing CSRF还有其他方式.检查引荐来源网址不如 CSRF token 强大,但它是 RESTful 并且非常不太可能被破坏。请记住,缺少引用者应被视为请求失败。

XSS 可用于绕过基于 token 的 CSRF 预防和基于引用的 CSRF 预防。

关于javascript - 您如何保护浏览器使用的 RESTful API 免受 CSRF 攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8209915/

免受javascriptCSRF凭据securityrest

有关javascript - 您如何保护浏览器使用的 RESTful API 免受 CSRF 攻击?的更多相关文章

  1. ruby - 如何使用 Nokogiri 的 xpath 和 at_xpath 方法 - 2

    我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div

  2. ruby - 如何从 ruby​​ 中的字符串运行任意对象方法? - 2

    总的来说,我对ruby​​还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用

  3. ruby - 使用 RubyZip 生成 ZIP 文件时设置压缩级别 - 2

    我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看ruby​​zip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d

  4. ruby - 为什么我可以在 Ruby 中使用 Object#send 访问私有(private)/ protected 方法? - 2

    类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc

  5. ruby-on-rails - 使用 Ruby on Rails 进行自动化测试 - 最佳实践 - 2

    很好奇,就使用ruby​​onrails自动化单元测试而言,你们正在做什么?您是否创建了一个脚本来在cron中运行rake作业并将结果邮寄给您?git中的预提交Hook?只是手动调用?我完全理解测试,但想知道在错误发生之前捕获错误的最佳实践是什么。让我们理所当然地认为测试本身是完美无缺的,并且可以正常工作。下一步是什么以确保他们在正确的时间将可能有害的结果传达给您? 最佳答案 不确定您到底想听什么,但是有几个级别的自动代码库控制:在处理某项功能时,您可以使用类似autotest的内容获得关于哪些有效,哪些无效的即时反馈。要确保您的提

  6. ruby - 在 Ruby 中使用匿名模块 - 2

    假设我做了一个模块如下:m=Module.newdoclassCendend三个问题:除了对m的引用之外,还有什么方法可以访问C和m中的其他内容?我可以在创建匿名模块后为其命名吗(就像我输入“module...”一样)?如何在使用完匿名模块后将其删除,使其定义的常量不再存在? 最佳答案 三个答案:是的,使用ObjectSpace.此代码使c引用你的类(class)C不引用m:c=nilObjectSpace.each_object{|obj|c=objif(Class===objandobj.name=~/::C$/)}当然这取决于

  7. ruby - 使用 ruby​​ 和 savon 的 SOAP 服务 - 2

    我正在尝试使用ruby​​和Savon来使用网络服务。测试服务为http://www.webservicex.net/WS/WSDetails.aspx?WSID=9&CATID=2require'rubygems'require'savon'client=Savon::Client.new"http://www.webservicex.net/stockquote.asmx?WSDL"client.get_quotedo|soap|soap.body={:symbol=>"AAPL"}end返回SOAP异常。检查soap信封,在我看来soap请求没有正确的命名空间。任何人都可以建议我

  8. python - 如何使用 Ruby 或 Python 创建一系列高音调和低音调的蜂鸣声? - 2

    关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。

  9. ruby-on-rails - 如何验证 update_all 是否实际在 Rails 中更新 - 2

    给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru

  10. ruby-on-rails - 'compass watch' 是如何工作的/它是如何与 rails 一起使用的 - 2

    我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t

随机推荐