フォームを持たない Web アプリがあります (Web サーバーですべてのフォーム要求を無効にしました)。公開 URL はほとんどありません (URL にいくつかの GET パラメータがあります)。ログインはなく、Cookie は使用しません。
この Web アプリに CSRF 保護は必要ですか?
フォームを持たない Web アプリがあります (Web サーバーですべてのフォーム要求を無効にしました)。公開 URL はほとんどありません (URL にいくつかの GET パラメータがあります)。ログインはなく、Cookie は使用しません。
この Web アプリに CSRF 保護は必要ですか?
XSRF または CSRF 保護は、Cookie を使用するドメインにのみ必要です。あなたが制御していない Web ページからのリクエストであっても、あなたのサイトへのすべてのリクエストはあなたの Cookie を運びます。サーバーの状態を変更する場合に最も重要ですが、状態が変更されていない場合でも役立つ場合があります。
http://j.mp/learn-xsrfには、XSRF とその回避方法に関する短いチュートリアルが含まれており、実際に試すことができます。
状態を変更しない要求で XSRF の脆弱性が存在する可能性がある例としては、ユーザーが本物のサイトにいることを識別するために表示される画像がある場合があります。一部の銀行はこれを行っており、イメージはユーザーごとに異なります。ただし、その画像が Cookie に依存する静的 URL で提供される場合、XSRF に対して脆弱であり、攻撃者のサイトで簡単にホストされる可能性があります。URL に XSRF トークンを含めることで、この問題を回避できます。(ユーザーごとに異なる URL を使用するだけでは十分ではありません。)