Я ищу для реализации защиты от атак CSRF в моем API, которые я разработал с использованием конечных точек GAE с oAuth2, необходимых для всех методов.CSRF на GAE Конечные точки с oAuth
Перед тем как реализовать какую-либо специальную защиту, я пытаюсь на самом деле разорвать свое приложение (CSRF выглядел простым на первый взгляд). Но просто не могу заставить его работать.
Когда я ссылаюсь на свою конечную точку на другой странице, браузер добавляет информацию cookie, но не заголовок авторизации с токеном доступа к каналу. Это, похоже, не достаточно, потому что мои конечные точки автоматически возвращают 401 с заголовком www-authenticate:Bearer realm="https://accounts.google.com/"
.
Как я уже сказал, у меня нет конкретной защиты от CSRF. Но использует ли Google Cloud Endpoints с oAuth2 под HTTPS, предоставляет мне защиту от этого типа атаки «бесплатно»?
- редактировать обратиться комментарий
Я попытался простой атаки CSRF. У меня есть страница с <img src="https://bla-bla-bla-appspot.com/_ah/api/myapi/v1/resource.getMethod">
. Затем я обратился к этой странице, пока мое приложение открылось на другой вкладке, поэтому мой браузер отправит мою идентификационную информацию. И он отправляет файл cookie, но не мой токен oAuth).
Я даже не пробовал делать POST, если я «взломал» GET, было бы здорово уже.
Не уверен, что если вы видели [это] (http://stackoverflow.com/questions/16688489/cloud-endpoints-csrf-protection) и статья, которая связана в комментариях, но он швы (если я правильно понял), что с OAuth2 CSRF не проблема. Возможно, я ошибаюсь, если вы найдете ответы в другом месте, пожалуйста, поделитесь (; – Sasxa
Что конкретно вы подразумеваете под «Когда я ссылаюсь на свою конечную точку на другой странице, браузер добавляет информацию о файлах cookie, но не заголовок авторизации с доступом к каналу токен "? Могли бы вы показать код? – Nick