Вам нужен токен XSRF/CSRF для запроса на выход?
Что может быть лазейкой в безопасности, если запрос на выход из системы не подтвержден с помощью токена XSRF/CSRF?
2 ответа
Не думайте, что токены Anti-CSRF являются механизмом, реализованным на отдельных конечных точках / запросах. В идеале такой механизм должен использоваться как критическая часть структуры, в которой вы разрабатываете.
Анти-CSRF может показаться излишним в ссылке на выход из системы, что меня здесь не беспокоит. Что меня беспокоит, так это проектирование системы, которая позволяет, а точнее, не применяет механизмы Anti-CSRF.
В этом контексте CSRF может показаться доброкачественным. Что происходит, однако, когда ссылка на выход из системы уязвима, чтобы сказать, XSS? Внезапно токен Anti-CSRF перестал защищать вас.
Всегда практикуйте глубокоэшелонированную защиту, так как ваша безопасность должна быть обернута слоями, одним из которых является Anti-CSRF.
Может сочетаться с OWASP A10, например, злоумышленник также предоставляет обратный URL-адрес, который указывает на плохое место, например, на поддельную страницу "войдите снова", где он может получить ваш пароль.