Cześć,
W swojej krótkiej karierze dołączałem do projektów, które nie były implementowane od zera i w dużej mierze praca z security mnie ominęła.
Mam ostatnio zagwozdkę - kiedy można z czystym sumieniem wyłączyć ochronę przed csrf? Widziałem, że np aplikację wykorzystrujące thymeleaf korzystają z ochrony przed csrf, ale jakieś restowe api + jakiś react/angular w konfiguracji wyłączają csrf. Korzystają za to np z JWT i/lub innych form ochrony.
Będę wdzięczny za odpowiedź :)
A rozumiesz przed czym chroni CSRF? CSRF sprawia, że nie da się na przykład z poziomu strony ze śmiesznymi kotami wysłać POSTa do facebooka, żeby skasowac ci konto. Bo facebook wymaga podania tokenu csrf, a tego nie jesteś w stanie łatwo wydobyć.
Kiedy nie jest to konieczne? Kiedy na przykład nie masz w ogóle endpointów, które mają jakieś persystentne efekty.
Raczej chodziło mi o coś takiego:
https://security.stackexchange.com/questions/170388/do-i-need-csrf-token-if-im-using-bearer-jwt
Przypadki kiedy to jest nadmiarowe z powodu uzycia innych form security. W sumie już znalazłem więc nieważne
Zarejestruj się i dołącz do największej społeczności programistów w Polsce.
Otrzymaj wsparcie, dziel się wiedzą i rozwijaj swoje umiejętności z najlepszymi.