没有CSRF令牌的身份验证

时间:2017-04-04 11:43:08

标签: api authentication ssl csrf

我有一个简单的网络应用程序,可以对用户进行身份验证。它在https下工作,因为它很简单,需要两个字段usernamepassword + csrf token

现在我已经实现了一个简单的API,用于验证是否存在具有给定用户名和密码的用户。它使用jquery.post()方法在同一个域上调用,也使用https,但我只提供usernamepassword

假设我的API目前只有一个功能" is-registered"我需要担心什么吗?当然除了蛮力。

1 个答案:

答案 0 :(得分:1)

  

假设我的API目前只有一个功能“is-registered”我是否需要担心什么?

“Something”对我而言过于宽泛而无法胜任回答,但只要您保留请求及其结果和原因,您就不必担心CSRF。我告诉你原因。

CSRF攻击意味着攻击者欺骗或强迫用户使用攻击者想要的参数和数据执行攻击者想要的操作(发送请求),但是以用户的名义(使用用户的有效会话和/或其他私有)用户的信息。)

如果网站认为用户提出请求,可能永远不会对任何人造成伤害,您不需要CSRF令牌,尽管他只是被迫这样做。这似乎是你的情况,因为如果用户被迫询问是否存在由攻击者提供的名称和密码的帐户,这没有任何害处。

您只需要注意不要根据用户发送的请求更改此类请求的原因及其结果。