REST и CSRF (подделка межсайтовых запросов)

Отказ от ответственности: я не эксперт по безопасности.

Использование HTTP Basic Auth не предотвращает атаки CSRF через запросы GET. Например. кто-то другой может включить тег img на свою HTML-страницу, который выполняет GET для некоторого известного URI, и ваш браузер с радостью отправит базовую информацию для аутентификации. Если операция GET «безопасна» (что является правилом №1 для всего, что претендует на статус RESTful), это не создаст проблемы (помимо потраченной впустую полосы пропускания).

Ajax не является проблемой из-за политики одного и того же происхождения.

Только включение сгенерированного сервером токена в генерируемый вами HTML-код и проверка его присутствия в запросах на отправку формы защитит вас от кого-то еще, просто включив «чужую» форму на свои страницы. Вы можете ограничить это типами контента, создаваемыми браузерами; нет необходимости делать это для запросов XHR.

Необходима ли защита CSRF, зависит от 2 факторов:

1. Выполняет ли запрос действие по изменению состояния (не то же самое, что и отсутствие состояния в REST API). Действия по изменению состояния - это любые действия, которые изменяют состояние приложения ... например, удаление чего-либо, добавление чего-либо, обновление что-то. Это действия, с помощью которых приложение изменит поддерживаемое состояние пользователя. Все запросы на публикацию и несколько запросов на получение подпадают под эту категорию. API REST могут иметь действия по изменению состояния.

2. Обеспечивается ли аутентификация браузером (не ограничиваясь файлами cookie) - CSRF происходит потому, что информация аутентификации включается в запрос браузером независимо от того, был ли запрос запущен пользователем или какой-либо другой открытой вкладкой. Таким образом, любой вид аутентификации, при котором браузер может самостоятельно включать информацию, требует защиты CSRF. Это включает как сеансы на основе файлов cookie, так и базовую аутентификацию.

Для всех запросов, которые подпадают под две вышеупомянутые категории, необходима защита CSRF.

Как ответил Стефан выше, запросы Ajax защищены политикой одинакового происхождения (SOP). SOP запрещает другому домену читать контент, отправленный целевым доменом. Таким образом, вредоносный скрипт не может прочитать заголовок авторизации. Но SOP не мешает другому домену отправлять запросы в целевой домен. Таким образом, вредоносный сценарий по-прежнему может отправлять запросы на изменение состояния в целевой домен. Браузер будет включать в этот запрос информацию для аутентификации и файлы cookie, поэтому серверу необходимо знать, исходит ли этот запрос от вредоносного домена или от пользователя. Из-за этого необходима защита CSRF.