Si mes requêtes Ajax définissent un en-tête X-Requested-With, puis-je simplement ignorer la vérification CSRF si cet en-tête est présent? Puis-je être sûr qu'il ne peut pas être falsifié (avec la session de l'utilisateur)?Ajax demande-t-il un CSRF sûr?
Répondre
Tant que vous n'avez pas un fichier crossdomain.xml grand ouvert (vous pourriez avoir cette b/c vous hébergez du contenu flash sur votre site?) Ou vos visiteurs ont d'anciens navigateurs; tu devrais être plutôt en sécurité. Bien que je recommanderais l'utilisation d'un "crumb" -token (valeur aléatoire dans cookie et la même valeur dans les demandes). Ce flash b/c peut définir le X-Requested-With et je pense que les vieilles versions IE vous permettent de le faire aussi (pas sûr sur celui-ci cependant). Avec "Puis-je sauter la vérification CSRF" Je suppose que vous faites référence à cette miette/jeton? La vérification B/c X-Requested-With est un moyen de vérification contre CSRF.
Étant donné que cet en-tête est facultatif, les navigateurs ne l'envoient pas toujours, et selon this page ils ne semblent pas le faire via SSL.
Voici comment nous avons résolu le problème avec JQuery http://mylifewithjava.blogspot.com/2010/11/implicit-csrf-protection-of-ajax_22.html
- 1. Éviter CSRF lors du traitement des requêtes AJAX ou Flash
- 2. Django ajax problème de téléchargement de fichier csrf
- 3. Génération de jetons CSRF
- 4. empêchant csrf dans php
- 5. Protection CSRF dans Tomcat
- 6. REST et CSRF (Cross-Site Request Forgery)
- 7. CSRF et des jetons qui changent constamment
- 8. Erreur lors de l'utilisation CSRF
- 9. Comment autoriser a) HTTP auth sans jeton CSRF + SSL ou b) exiger un jeton CSRF avec legs?
- 10. Erreur CSRF dans Django; Comment puis-je ajouter CSRF à ma vue de connexion?
- 11. Protection CSRF et accès aux formulaires intersites
- 12. S'agit-il d'une sécurité de sécurité, XSS ou CSRF?
- 13. Django: Échec de la vérification CSRF
- 14. jquery ui dialogue et protection csrf
- 15. Emailing sûr du logiciel
- 16. jQuery formulaire plus sûr
- 17. SÛR type et NHibernate
- 18. toEnum sûr et polymorphes
- 19. Est-ce un moyen sûr d'initialiser un [ThreadStatic]?
- 20. Est-ce qu'un POST et un Content-Type personnalisé sont requis pour prévenir CSRF?
- 21. Comment prévenir les attaques CSRF/XSRF impliquant des iframes intégrés?
- 22. Incorporation de thread sûr Python
- 23. wcf reste weboperationcontext.current thread sûr?
- 24. Pour le middleware d'échec de CSRF de Django, comment pouvez-vous obtenir les erreurs CSRF pour signaler l'échec de l'URL?
- 25. django: après la mise à niveau à 1,2 CSRF soulève 403 si je n'ai pas la protection CSRF a permis
- 26. sérialisation d'objet java - thread sûr?
- 27. filtrage html sûr avec php?
- 28. C# DateTime, cette méthode est-elle un paramètre régional sûr?
- 29. Est-ce un moyen sûr d'exécuter des threads en alternance?
- 30. Class pour mantain un cache de thread sûr