初始情况:
RESTful Web服务使用双提交cookie方法防御CSRF攻击。这意味着身份验证令牌会被提交两次并在服务端进行验证。
问题/安全威胁:
Android和iOS平台的WebView元素允许创建一个恶意Web浏览器,用于揭示和修改会话cookie。的 webView.loadUrl("javascript:document.cookie=’’;"); 即可。如果攻击者已经知道,双重提交的cookie如何(在这种情况下,它是AuthenticationToken),他就能够创建一个恶意的RESTBrowser。因此,他将已知的CSRFToken添加到文档对象模型中,从而绕过CSRF对策。那是对的吗?
可能的预防措施:
到目前为止,我不知道如何防止攻击者创建和发布这样的恶意移动应用程序,以及防止服务通过恶意移动应用程序访问。我知道User-Agent标头的存在,并且该服务可以使用此信息拒绝来自其他人的请求而不是特定浏览器。但我确信这个标题也可以在WebView中操作。
在恶意移动应用程序的背景下,CSRF的有效对策是什么?