Как защитить одну страницу WebAPI от атак CSRF?

Question

У меня есть одностраничное приложение, построенное с использованием angularjs, которое использует службу $ http для выдачи запросов GET и POST. Сайт не аутентифицирует пользователей и является анонимным. Есть ли способ предотвратить атаки CSRF для анонимных веб-сайтов? Я нашел много сообщений для его реализации в angularjs, который использует службу $ http. Но я не понял, относится ли это и к анонимным приложениям. Кто-нибудь может посоветовать? Спасибо!

Answer 1

Вам не нужно беспокоиться о CSRF, если у вас нет аутентификации. Кроме того, если вы добавляете аутентификацию по токенам, которая передается в виде заголовка, вам также не нужно об этом беспокоиться.

Проблема с CSRF - это еще один сайт, использующий cookie аутентификации на вашем сайте автоматически.

Возможно, вы беспокоились о чем-то другом, а не о CSRF? Чего именно вы боитесь, поскольку весь сайт является общедоступным и анонимным?

Answer 2

Я думаю, вам не нужно беспокоиться о нападении CSRF, если ваше приложение не аутентифицирует пользователя.

«Подделка запросов на межсайтовый запрос (CSRF) - это тип атаки, которая возникает, когда вредоносный веб-сайт, электронная почта, блог, мгновенное сообщение или программа заставляют веб-браузер пользователя выполнять нежелательные действия на доверенном сайте для который пользователь в настоящее время аутентифицирован ». Это из https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet

Он говорит: «заставляет браузер пользователя выполнить какое-либо действие на доверенном сайте, для которого пользователя в настоящее время проверки подлинности».